以 下 推荐 人 按 姓 名 音 序 排序 。 


随 着 信息 时 代 发 展 ， 
适应 快速 、 高 效 运 维 ， 
特性 ， 集 成 了 批量 命令 


自动 化 基础 设施 势必 成 为 运 维 必 备 技能 。 
内行 和 文件 处 理 等 诸多 功能 。 


全 球 运 维 体系 不 断 升级 ， 灵 活 多 变 、 安 全 稳定 、 
纵 观 自动 


化 工 


相信 不 少 朋友 已 经 在 使 


专注 开源 事业 ， 


Ansible 可 以 说 是 配置 管理 领域 的 新 锐 ， 一 经 推 
便捷 性 等 多 方面 要 求 ， 我 们 也 把 对 Ansible 的 兼容 作为 首选 。 非 常 感谢 Stanley 和 


定 能 让 更 多 人 享受 开源 运动 带 来 的 


硕 成 果 。 而 Ansible 也 将 成 为 专 


自动 高 效 的 持续 保障 迫 在 


咕 


天 蛙 


目 吓 。 


开源 运动 为 IT 莫 定 了 坚实 的 基础 环境 ， 使 得 我 们 可 以 不 断 哆 吸着 
， 如 Puppet、SaltStack、Func、Chef、Ansible， 基 于 Linux 原 生 SSH (不 需要 agent) ， 并 糠 合 众 多 老牌 运 维 工 
这 些 工具 ， 作 者 也 从 中 直接 受益 ， 并 结合 实战 经 验 汇总 成 本 书 ， 以 帮助 更 多 热爱 开源 的 朋友 。 我 们 坚信 ， 集 众人 智慧 的 结晶 ， 
上 人 员 必 备 技能 ， 这 本 集合 基础 原理 和 实战 案例 的 书籍 会 成 为 运 维 人 员 必 备 宝典 。 


中 的 养分 而 芭 壮 成 长 。 然 而 ， 为 


的 优秀 


便 受 到 了 很 多 运 维 及 客户 的 青 


球 。Ansible 的 架构 设计 简洁 ， 上 手 也 非常 简 和 


马 永亮 


当前 ， 云 计算 正在 快速 落地 ， 云 使 资源 的 利 


更 高 效 ， 但 是 云 只 解决 


中 , 使 


Python 开发 


Ansible 成 为 可 能 。 相 信 


的 Ansible 无 疑 是 运 维 人 员 的 最 爱 ， 因 


通过 阅读 本 书 ， 没 有 接触 过 Ansible 


了 系统 层面 资源 使 


的 问题 ， 业 务 
为 它 符合 Python 简 单 高 效 的 原则 。 但 是 Ansible 入 门 容易 精通 难 。 很 高 兴 看 到 李 松涛 和 他 的 
的 读者 可 以 快速 入 门 ， 已 经 在 使 用 Ansible 的 读者 可 以 从 中 学 到 更 多 知识 。 


己 


层面 的 运 维 


他 笔者 不 辞 辛劳 地 编写 此 书 ， 值 得 大 家 钦佩 。 相 信 本 书 能 给 读者 带 来 很 大 的 收益 。 


工 津 外 


自动 化 还 必须 借助 运 维 自 动 化 工具 、 结 合 具体 的 业务 场景 来 解决 。 在 众多 的 


= 省 力 5 
有 一 种 距离 叫 菜鸟 到 高 手 的 进 阶 ， 有 一 种 练 级 捷径 叫 活 学 活用 《Ansible 权 威 指南 》。 本 书 案例 通用 、 好 使 、 接 地 和 气 。 
菜鸟 得 之 如 获 至 宝 ， 稳 扎 稳 打 中 轻松 晋级 ;高 手 用 之 简洁 高 效 ， 深 度 实践 中 融会 贯通 。 
资深 脚本 运 维 有 一 天 会 发 现 ， 越 做 越 累 ， 正 所 谓 : 成 也 脚本 ， 累 也 脚本 。 
场景 化 运 维 ， 可 能 吗 ? Playbook 帮 你 实现 操作 通用 或 者 简化 ， 把 纷繁 复杂 的 脚本 变 为 场景 中 一 个 个 的 步 又， 让 你 可 以 边 维护 边 游戏 ， 提 升 运 维 人 员 的 工作 效率 。 
还 在 为 Serverlist 的 管理 发 悉 吗 ?Invertory 帮 你 实现 服务 器 分 层 管 理 ， 架 构 拓扑 图 一 目 了 然 。 
还 在 为 生成 配置 文件 时 感叹 “时 间 都 去 哪 了 ” 吗 ? Jinjia 的 高 效 配置 生成 速度 ， 让 生成 1 万 个 复杂 配置 文件 由 30 分 钟 变 为 1 分 钟 ， 并 且 减 少 了 业务 停机 时 间 。 
本 书 对 Ansible 的 周边 扩展 介绍 得 比较 实在 ， 理 论 联 系 实践 。 作 者 从 丰富 的 工作 经 验 总 结 出 案例 ， 详 细 列 举 了 celery、 模 块 扩 展 等 具体 应 用 ， 让 Ansbile 更 加 贴 合 实际 的 应 用 场景 。 


如 果 你 想 成 为 场景 化 运 维 人 员 ， 如 果 你 想 提 升 工作 效率 ， 本 书 就 是 为 你 量 身 定制 的 不 二 选择 。 


化 软件 。 


回顾 运 维 


当前 中 
自动 化 的 


国 


运 维 


参 着 互联 网 和 云 计 算 的 蓬勃 发 


自动 化 的 发 
解决 这 个 问题 ，Puppet、SaltStack、Ansible 等 一 批 优秀 的 开源 软件 应 运 而 生 ， 
大 部 分 数据 中 心 还 是 处 于 “人 肉 运 维 ”的 时 代 ， 
核心 是 配置 管理 ， 


展 历程 ， 最 早 的 运 维 自动 化 是 脚本 


一 一 张 


， 数 据 中 心 基础 设施 急速 增加 ，IT 运 维 逐 渐 成 为 现代 企业 生产 经 营 的 核心 ， 而 且 


运 维 正 式 进 入 


自动 化 只 是 最 终 效果 。 


Ansible 是 运 维 自动 


本 书 作 者 之 一 李 松 涛 是 行业 中 少 有 的 “能 
血 促成 了 本 书 的 诞生 。“ 授 人 以 鱼 ， 不 如 授 人 以 渔 ”， 本 书 不 但 介绍 了 Ansible 的 基础 知识 ， 


我 把 运 维 


为 什么 要 写 这 本 书 


首次 接触 Ansible 是 缘 于 一 次 杭州 4 


自动 化 分 为 : 人 肉 运 维 、 操 作 
， 惠 及 更 多 的 运 维 从 业者 ， 让 天 下 没有 难 运 维 的 数据 中 心 。 


化 软件 的 后 起 之 秀 ， 发 


特点 是 简 和 


bt 差 。 当 时 接触 互联 网 3 


动 化 时 代 。 


自动 化 运 维 的 需求 非常 强 。 但 对 于 初学 者 来 说 ， 要 驾驭 好 这 些 软件 也 不 容易 。 很 多 初学 者 会 误 认为 运 维 


易 用 、 无 代理 架构 ， 使 用 Python 这 样 的 运 维 语言 易于 


二 次 开发 ， 这 使 得 Ansible 非 常 适 合 互联 网 的 运 维 场景 和 初学 者 。 


能 武 ” 运 维 从 业者 ， 经 过 了 腾讯 海量 系统 运 维 的 锻炼 ， 又 承担 了 Ansible 中 


国 


“布道 者 ”的 角色 ， 不 辞 辛苦 地 在 社区 和 行 4 


下 


el: 


自动 化 、 资 源 统 一 配置 、 一 体 化 运 维 、 运 营 指挥 5 个 成 熟 度 阶段 ， 广 大 运 维 同 行 可 以 做 的 导 


F 左 右 ， 正 是 技能 的 储备 阶段 ， 看 到 Ansible 这 样 的 新 


情 还 很 多 。 囊 心 祝 愿 李 松 涛 再 接 再 


智 锦 ， 


Av 


， 马 哥 教育 创始 人 


和 R， 学 习 成 本 很 低 。 在 我 们 的 客户 自动 化 方案 中 ， 考 虑 到 安全 性 、 稳 定性 、 


(互联 网 运 维 杂谈 老 王 ) ， 优 维 科技 创始 人 


自动 化 工 


求 越 来 越 高 。 而 要 实现 海量 系统 运 维和 DevOps， 兼 顾 稳 定 和 效率 ， 就 离 不 开 运 维 


朋友 们 撰写 的 这 本 书 的 出 版 ， 本 书 使 快速 精通 


《深度 实践 KVM》 作者 


志 浩 ， 腾 讯 游戏 运营 规划 专家 


自动 


自动 化 ， 依 靠 SSH 通 道 批 量 执行 脚本 。 但 人 们 很 快 就 发 现 ， 每 个 运 维 人 员 习 惯 写 一 堆 脚本 ， 脚 本 的 管理 维护 成 为 问题 ， 误 操作 也 时 有 发 生 。 为 了 


自动 化 的 核心 是 批量 执行 ， 其 实 不 然 ， 


/中 分 享 经 验 ， 最 终 ， 花 费 了 大 量 心 


还 介绍 了 Ansible 的 实践 经 验 和 高 阶 的 二 次 开发 ， 对 读者 深入 理解 Ansible、 构 建 自动 化 运 维 体系 非常 有 帮助 。 


厉 ， 通 过 著 书 立 说 和 传道 授 业 的 方 


资深 运 维 从 业者 ， 杭 州 云 界 科技 有 限 公 司 CEO 


自动 化 工 


不 免 充 满 好 奇 。 当 时 腾讯 的 蓝 鲸 还 没有 出 来 ， 但 abs 脚 本 和 ijobs 


动 化 体系 


7 


已 经 应 用 多 年 ， 并 在 整个 IEG 中 心 广泛 应 用 。 大 型 企业 讲究 分 工 精细 化 ， 各 司 其 职 ， 强 大 的 自我 研发 能 力 。 但 伴随 业绩 和 KPI 的 压力 ， 很 多 人 其 实 是 没有 多 余 精 力 关注 外 界 技术 领域 的 发 展 ， 尤 其 是 游戏 行 
业 ， 行 业 自身 属性 对 开发 人 员 的 技术 能 力 要 求 非常 高 ， 前 沿 开源 技术 与 业务 特殊 性 需求 并 不 能 很 好 地 融合 ， 致 使 多 数 工 具 依 赖 于 开发 人 员 ， 整 体 运 维 体系 以 应 用 、 发 现 、 维 护 、 服 务 方向 为 主 ， 底 层 运 维 没 
有 技术 能 力 和 资源 协调 能 力 为 业务 创造 直接 价值 。 高 级 运 维和 领导 层 更 需 着 眼 于 高 层面 的 业务 拓展 和 整体 运 维 体系 规划 ， 所 以 多 数 互 联网 前 沿 技术 以 技能 储备 的 方式 被 引入 ， 待 机 蓄 力 而 发 。 

后 来 蓝 鲸 和 ijobs 融 合 后 ， 在 强大 技术 力 的 驱动 下 ， 运 维 的 技术 能 力 进一步 淡化 ， 对 应 的 业务 能 力 、 需 求 发 现 、 服 务 意识 被 强化 ， 并 提出 更 高 的 要 求 ，DevOps 的 岗位 定义 更 加 明确 。 蓝 鲸 平台 类 似 于 苹 
果 公司 的 App Store， 是 一 个 载体 ， 只 要 有 开发 能 力 就 可 以 编写 自己 的 应 用 。 只 要 应 用 的 通用 性 足够 高 ， 所 有 业务 都 可 以 下 载 使 用 ， 而 通用 性 则 是 开源 技术 最 讲究 的 点 。 同 时 开源 工具 也 是 非常 好 的 学 习 对 


象 ， 往 往 经 过 简 自 


a 的 修改 即 可 变 成 


自己 的 产品 ， 


此 运 维 对 开源 技术 的 关注 度 越 来 越 高 ， 而 笔者 也 正 是 在 这 样 的 背景 下 接触 到 Ansible。 


对 比 主流 的 


自动 化 工具 SaltStack、Puppet 等 ，Ansible 给 人 最 直观 | 


培训 希望 个 人 同 


时 兼备 Ops 和 Dev 的 战略 ， 但 直 


官方 收购 的 消息 ， 也 更 坚定 了 笔者 使 


国 


但 当时 Ansible 在 | 
Ansible， 并 结合 业务 进行 了 深入 应 用 ， 所 


使 


微 信 公 众 号 、Ansible 部 落 微 信 群 、Ansible 中 文 权威 QQ 和 群 。 更 为 幸运 和 开 , 


内 公司 应 用 的 并 不 多 ， 且 


而 初级 运 维和 没有 开发 经 验 的 运 维 掌握 面向 对 象 技术 去 开发 高 级 应 
Ansible 


的 想法 。 


官 
三 


ES 


的 感觉 就 是 比较 简单 ， 而 这 也 是 笔者 选择 使 有 
到 现在 身边 真正 同时 具备 Dev 和 Ops 能 力 于 一 身 的 人 凤毛麟角 。 类 似 于 Puppet 和 SaltStack 这 样 的 工 
确实 没有 那么 妥当 。Ansible 早 期 的 官网 


Ansible 最 重要 的 理由 之 一 。 


因 


也 是 以 Stupid Simple 来 形容 其 简 


一 


,高 级 使 
程度 的 ,其 


已 家 喻 户 晓 ， 但 国内 Ansible 的 文档 和 社 


国 


屡 被 破解 ， 使 得 虽然 自动 化 的 理念 
以 就 产生 了 编写 一 本 Ansible 书 籍 的 想法 。 因 此 ， 也 有 了 后 来 的 Ansible 官 网 中 文 翻译 


区 却 始终 不 温 不 火 。 无 独 有 偶 ， 笔 者 发 现 


团 


Eb: 
Be 


博文 、coocla、 云 中 鹤 、stanley， 这 些 朋 友 们 


在 一 次 和 朋友 聊天 中 ， 朋 友 问 到 你 们 Ansible 已 经 应 用 这 么 久 ， 同 时 也 有 自己 独立 : 


有 译 成 中 文 ， 所 以 起 名 为 Ansible 中 文 权威 指南 。 


而 


的 过 程 中 也 遇 到 了 一 批 自动 化 工 . 


心 的 是 ， 在 坚持 
后 Google、Baidu 的 关键 字 搜索 结果 仅 次 于 官网 ， 这 使 得 我 们 的 
历经 数 月 ， 辛 勤 翻译 多 达 5 万 字 文 档 。 


队 和 本 书写 作 | 


团 


队 ， 再 


后 来 也 就 有 了 Ansibl 
好 者 。http://www.ansible.com.cn/ 将 Ansible 官 


蔷 讯 也 


始 在 自家 蓝 鲸 平台 
e 中 文 权威 网 站 、 运 维 部 落 


党 


评 


中 大 家 


的 部 分 功 


吊 


sg) 


发 的 界面 ， 现 在 


国 


时 一 性 ,但 也 有 担心 : 一 方面 精力 不 支 ， 


中 ， 很 高 兴 又 有 新 的 伙伴 骑 行 牛 人 魏 几 和 Python 能 力 出 众 的 甘 捷 陆 续 加 入 ， 也 使 得 个 人 的 压力 和 精力 有 更 多 的 释放 ， 书 籍 的 内 容 也 有 更 完整 、 丰 富 的 互补 。 
Ansible 公 众 号 和 QQ 群 ， 定 期 分 享 书籍 内 容 ， 收 集 F 
户 QQ 群 问题 处 理 方案 ， 


成 立 专门 的 QA 站 点 ， 收 集 


本 书 特色 


从 技术 层面 讲 ， 运 维 


从 适合 读者 阅 
理 一 练习 一 实战 的 
得 。 在 Ansible 企 业 应 用 实战 相关 章节 ， 


读 和 掌握 知识 的 结构 


在 由 浅 入 深 介 绍 Ansible 的 同时 ， 本 书 所 有 的 应 用 案例 按 章节 顺序 


和 去 向 也 会 通过 公众 号 和 网 站 的 方式 对 外 公开 ) 


读者 对 象 
' IT 网 络 运 维 工程 师 
“ 业务 运 维 工程 师 
“ DevOps 技 术 人 员 


一 方 


自动 化 理论 及 思想 在 国内 日 趋 成 熟 ， 
颖 而 出 。Ansible 去 中 心 化 思想 和 “简单 就 是 一 切 ”的 原则 也 使 


安排 上 讲 


详细 介绍 Ansible 与 现 


户 反 馈 和 体验 。 到 目前 为 止 ，QQ 群 近 1300 人 ， 
并 对 积极 回答 问题 勇于 分 享 的 朋友 定期 寄 送 礼品 以 示 鼓 励 。 团 


自动 化 工具 更 是 遍地 开花 。 现 在 运 维 不 再 纠结 于 没有 工具 可 


信心 大 增 。 这 里 要 特别 感谢 马 哥 Linux| 


团 


内 Ansible 的 势头 虽 高 ， 但 文档 和 书籍 欠缺 ， 何 不 把 你 们 的 经 验 总 结 t 


队 成 员 的 蕉 


DN 


面 老婆 怀孕 ， 我 担心 生活 工作 不 能 兼顾 。 后 来 在 老婆 的 鼓励 下 ， 经 肖 力 和 黄 博 文 兄 的 引荐 认识 了 华 


的 


公 品 | 


八 谷 旦 


公众 号 也 有 2000 多 人 在 关注 。 群 中 也 专门 请 行业 应 | 


在 运 维 图 快速 流行 。 但 正如 所 有 


物 一 样 ， 入 门 简单 并 不 代表 深入 简单 ， 这 也 正 是 本 书 


队 很 高 兴 也 很 幸运 能 通过 这 样 的 方式 为 国内 Ansible 的 发 


的 意义 所 在 。 


“Web 自 动 化 开发 篇 ”。 本 书 在 介绍 新 技术 应 有 


的 同时 更 注 和 


A 
今 流行 


， 本 书 分 为 “基础 入 门 篇 ” 
思路 ， 让 读者 轻松 逐步 深入 ， 不 会 有 生硬 和 突 元 感 。 在 介绍 Ansible 的 核心 技术 应 用 Playbook 章 节 更 是 不 异 
技术 的 结合 使 用 ， 以 及 如 何 自我 发 


“高 级 进 阶 篇 ” 


部 上 传 至 GitHub， 附 带 


展 、 自 我 完善 技能 。 


研 的 Web 自 动 化 页 面 ,也 


“ 中 小 型 企业 无 运 维 岗 但 需 运 维 服务 器 的 开发 人 员 


“ 虚拟 化 技术 人 员 


“ 对 自动 化 理念 感 兴趣 的 技术 人 员 


如 何 阅读 本 书 


本 书 分 为 三 篇 ， 共 14 章 ， 其 中 第 1~3、6、8~10 由 李 松 涛 编写 ， 第 4、5、7、11 由 魏 几 编写 ， 第 8、12~ 14 章 由 甘 捷 编写 。 


第 一 篇 为 基础 入 门 
Ansible， 还 需 认真 阅读 。 


(第 1~5 章 ) ， 该 篇 着 


第 二 篇 为 高 级 进 阶 1 


(第 6~11 


) ， 该 篇 


重 介绍 Ansible 发 


是 本 书 内 容 的 最 大 构成 部 分 ， 着 时 


展 史 ， 工 作 原 理 ， 基 础 元 素 组 成 ，Playbook 入 门 。 该 部 分 内 容 虽 简 


man 


结合 企业 实际 需求 场景 ， 以 大 量 的 实际 案例 拓 


部 开源 至 GitHub (同时 本 书写 作 


团 


在 整个 写 书 过 程 中 我 人 
经 验 丰富 的 专员 来 解答 Ansible 的 技术 类 问题 ， 


全 三 | 


展 贡 献 自己 的 力量 。 


， 却 是 掌握 Ansible 高 级 技巧 的 基石 ， 如 没有 接触 过 相关 


的 章鱼 、guli、 以 马 


来 分 享 给 更 多 朋友 
高 编辑 ， 正 式 开始 书籍 的 编写 之 旅 。 在 这 个 过 程 
门 也 在 成 立 的 运 维 部 落 、 


常 F 
内 利 、 黄 


尼 。 我 当 


展 介绍 Ansible 的 高 级 语法 进 阶 和 实际 应 用 技巧 ， 涉 及 的 技术 点 有 Roles、 


为 笔者 一 直 认 为 每 个 人 精力 有 限 ， 如 腾讯 早期 的 Ops 技 能 
均 需 涉及 诸如 Class 类 开发 这 样 的 技能 才 可 运 
前 沿 的 去 中 心 化 思想 和 近期 被 RedHat ( 红 


同时 


， 而 是 收 账 于 选择 何 种 工具 。 而 Ansible 正 是 在 这 样 的 大 环境 下 产生 ， 并 且 迅 速 及 


读者 对 技术 的 消化 和 接受 程度 ， 整 个 过 程 都 秉承 原 
50 页 左右 的 篇 幅 ， 通 过 企业 实际 案例 讲解 分 析 Playbook 的 使 用 技巧 和 经 验 心 


队 收入 的 20% 将 捐赠 给 开源 组 织 ， 捐 赠 金 额 


自动 化 工具 和 


Inventory、Jinja2、Galaxy 等 。 结 合 的 行业 主流 技术 包括 (但 不 限 ) Zabbix、Except、MemCache、lnotify、Logio、GitLab、Docker、LNMP、Redis、MySQL、Nodejs 等 ， 并 提供 丰富 的 实战 案例 供 


大 家 参考 学 习 。 
第 三 篇 为 Web 自 动 化 


前 后 端 技术 ， 通 过 Ansible celery 管 理 后 台 任 务 队列 。 


中 


本 书 前 11 章 ， 各 章 没有 强 关 联 ， 如 觉得 内 容 已 掌握 可 跳跃 式 阅读 ， 遇 到 不 理解 的 地 方 | 


勘误 和 支持 


Ansible 的 发 


展 非 常 快 ， 当 我 们 


始 着 手写 这 本 书 


们 的 写作 
开发 上 


也 造成 一 定 的 困扰 。 当 时 多 数 公司 使 
后 者 功能 模块 更 加 完 


丰富 ， 但 对 于 普通 使 


昌 该 部 分 内 容 从 零 基础 部 分 


的 还 是 1.9 版 本 的 分 支 ，2.0 分 支 也 陆续 收 到 朋友 们 


回头 再 看 也 问题 不 大 。 从 第 12 章 开始 为 Web 化 自动 开发 


5 者 
个， 而 


反馈 各 类 问题 。 所 以 本 书 的 写作 过 程 总 体 还 是 基 


者 整体 


别 不 大 ， 有 


别 的 地 方 书 中 均 会 提 到 。 


由 于 笔者 的 水 平 有 限 ， 编 写 时 间 仓促 ， 所 有 的 写作 过 程 都 在 深夜 和 周末 ， 书 中 难免 会 出 现 一 些 错误 或 者 不 准确 的 地 方 ， 尽 请 读者 批评 指正 。 贡 


0 果 您 有 更 多 的 宝贵 意见 


后 进行 学 习 。 


循序 渐进 地 学 习 ， 建 议 按 顺序 阅读 。 


发 篇 (第 12~14 章 ) ， 该 篇 内 容 主 要 针对 不 想 购买 Tower 产 品 ， 但 又 有 Web 全 自动 化 发 布 界面 需求 的 人 而 专门 撰写 。 该 部 分 内 容 使 用 当前 最 流行 成 熟 的 Python， 并 结合 Django 
始 介绍 ， 逐 步 引导 上 手 ， 但 考虑 时 间 和 精力 成 本 ， 建 议 具备 一 定 的 Python、Django、 前 端 基础 


的 时 候 Ansible 的 版 本 还 是 1.9.4， 但 没 过 多 久 2.0 稳 定 版 本 就 更 新 出 来 ， 但 1.9 版 本 分 支 还 一 直 在 维护 ， 随 后 又 陆续 更 新 了 1.9.5 和 1.9.6 的 稳定 版 ， 这 对 我 


于 1.9 分 支 的 基础 ，1.9 和 2.0 的 差别 主要 在 于 


linux178， 或 加 入 我 们 的 QQ 群 : Ansible 中 文 权威 -2 号 群 (486022616) ， 或 访问 我 们 的 问答 平台 http://www.178linux.com/qa， 我 们 会 尽量 提供 最 满意 的 解答 。 期 待 能 够 得 到 你 们 的 真挚 


之 路 上 互 勉 共 进 。 


我 想 和 作者 聊 聊 
微 信 公 众 号 : 


linux178 


API 接 口 和 页 画 
， 欢 迎 您 关注 我 们 的 公众 号 
反馈 ， 在 技术 


或 扫 以 下 二 维 码 


普通 用 户 请 加 群 : 


Ansible 中 文 权威 -2 号 群 486022616 


书籍 读者 请 加 群 : 


中 文 权威 读者 群 577479881 


感谢 翻译 团队 在 Ansible 官 网 文档 翻译 过 程 中 的 无 私 付出 。 


感谢 魏 阐 、 甘 捷 两 位 “笔友 ”在 我 狂 友 小 炸 的 


帮助 引 


可 


导 我 们 顺利 完成 全 部 书稿 。 


“ 淫 威 ”下 坚持 写作 ， 并 持续 输出 高 质量 的 内 容 。 感 谢 机 械 工业 出 版 社 华章 公司 的 策划 编辑 高 婧 牙 ， 在 近 一 重 


的 时 间 中 始终 支持 我 的 写作 。 你 们 的 鼓励 和 


后 ， 我 要 特别 感谢 我 的 太太 yolanda， 为 写作 这 本 书 ， 我 幅 牲 了 很 多 陪伴 她 的 时 间 ， 但 也 正 因为 有 了 她 的 付出 与 支持 ， 我 才能 坚持 写 下 去 。 


村， 也 要 郑重 感谢 马 哥 教育 在 我 写作 的 过 程 r 


提供 不 遗 余力 的 资源 支持 ， 让 我 们 得 以 放 开 手 脚 无 所 束缚 地 完成 写作 工作 。 


说 以 此 书 献 给 我 最 亲爱 的 家 人 ， 


' 第 1 章 。 Ansible 
' 第 2 章 Ansib 


"第 3 章 ”Ansib| 


“第 4 章 ”Playboo 


“第 5 章 Ansible 


基础 入 门 


k 快 速 入 门 


以 及 众多 热爱 开源 技术 的 朋友 们 ! 


第 一 篇 ”基础 入 门 篇 


e Ad-Hoc 命 令 集 


Playbook 拓 展 


第 1 章 ”Ansible 基 础 入 门 


“未 来 主体 是 传统 行业 利 


互联 网 技术 ， 以 云端 


人 工 智 能 的 方式 处 理 大 数据 ”， 在 腾讯 “ 云 + 未 来 ”技术 峰会 上 ， 马 化 腾 这 样 形容 未 来 。15 年 前 ， 电 脑 还 只 是 少数 人 


的 专 
展 更 是 日 新 月 异 ，IT 工 种 的 分 类 


李 松 涛 (stanley) 


2016 年 8 月 


属 ， 那 时 的 网 吧 还 很 火 ， 还 


居 存 储 等 尖端 技术 的 


杂 应 用 ， 对 运 维 的 技术 专业 


度 


配置 环境 、 手 动 交付 


没 人 知道 “网 咖 ” 是 什么 。 而 现在 人 手 一 部 智能 手机 ， 物 联网 更 是 让 日 常生 活 中 的 普通 家 电 也 能 在 互联 网 占据 一 席 之 地 。 这 一 切 都 推动 着 互联 网 如 火 如 茶 发 展 ，IT 技 术 的 发 
日 益 精细 专业 化 。 
从 早期 All In One (所 有 应 用 部 署 在 一 台 服 务 器 上 ) 的 简单 应 用 ， 到 后 期 集群 、 高 可 用 、 缓 存 、 消 息 队 列 、 配 置 中 心 、 主 从 分 离 、 负 载 均衡 、 大 数 
和 综合 技能 要 求 越 来 越 高 ， 运 维 的 交付 标准 不 再 以 周 或 天 为 单位 ， 而 是 以 分 钟 为 单位 。 在 现在 是 如 此 ， 在 未 来 更 是 如 此 。 运 维 不 再 如 早期 一 样 ， 手 动 一 台 台 地 登录 服务 器 、 部 署 应 
(诸如 亚马逊 、Google 等 巨型 企业 早已 实现 自动 扩 缩 容 ， 配 置 应 用 自动 化 ， 流 程 自 动 交付 等 功能 ) 。 该 方式 耗 时 耗 力 ， 很 难 避免 人 为 因 
放 ， 这 一 切 都 是 不 合理 的 ， 需 要 有 更 好 的 解决 方式 。 
相信 看 到 这 里 ， 大 家 都 明白 ， 我 们 需要 一 套 自 动 化 管理 工具 来 帮助 运 维 更 高 质量 、 更 有 效 地 完成 手头 工作 ， 以 证 明 运 维 能 创造 的 价值 不 


当下 SaltStack、Puppet、Fabric、Chef 等 自动 化 工 


业 | 


Ansible 是 什么 


遍地 


人 花 ， 为 什么 还 


随 着 移动 互联 、 物 联网 、 互 联网 +、 大 数 
到 互联 网 带 来 的 便利 和 舒适 的 


一 现象 在 互联 网 的 
规模 ， 每 个 运 维 同 


发 


Sn 
7 品 


二 


见 


， 在 指定 的 范围 


时 操作 10~ 


也 人 工作 
自 卉 


Ansible 是 近年 越 来 越 火 | 


同时 ， 人 们 也 不 
展 中 体现 得 淋漓 尽 致 。 在 互联 网 迅猛 发 
20 台 机 器 ， 忙 碌 
都 完全 一 样 呢 ? 又 如 何 保证 其 他 所 有 人 的 操作 都 能 准确 无 误 、 没 有 遗漏 过 失 呢 ? 更 何况 ， 随 着 互 
老 一 套 办 法 一 台 台 


时 间 内 自动 化 运行 ， 但 整个 过 程 无 需 人 工 参 与 。 


的 一 款 运 维 自动 化 工具 ， 


的 蓬勃 发 


届 、 云 计 : 


和 大 规模 应 用 的 众生 推动 ， 以 及 人 们 日 常生 活 的 互联 网 化 ， 互 联网 


素 的 错误 ， 最 


止 于 此 ， 况 且 生 活 不 止 眼前 的 苟且 
推荐 Ansible 呢 ? 读 完 本 章 你 会 有 些许 想法 ， 未 来 已 来 ， 只 是 尚未 流行 。 


要 的 是 这 些 


看 复 手 工 劳动 无 法 让 运 维 有 更 大 的 价值 释 


满足 于 “可 以 用 ”， 而 是 要 “用 得 爽 ”， 在 政策 、 需 求 、 利 益 、 趋 势 等 原 
展 的 同时 ， 运 维 这 个 工种 也 从 默默 无 闻 的 
入 之 间 配 置 重启 服务 ， 数 十 人 摩 肩 接 中 的 场 


因 


也 奔波 于 各 电 | 


的 刺激 下 ， 互 联网 的 发 
后 台 逐 步 走向 公众 视野 ， 被 更 多 的 人 所 知晓 。 


1， 还 有 诗 和 和 远方， 不 是 吗 ? 但 


展 不 仅 冲 击 影响 着 整个 经 济 体 ， 更 对 人 们 的 生活 理念 影响 深远 。 在 体验 
展 速度 可 想 而 知 。 众 所 周知 ， 智 能 的 背后 意味 着 复杂 ， 这 


期 公司 业务 有 数 十 台 、 上 百 台 服务 器 已 经 是 非常 庞大 的 
面 是 何等 壮观 。 只 是 每 个 人 都 在 数 十 台 机 器 上 做 同样 的 修改 、 配 置 、 操 作 ， 如 何 保证 每 台 机 器 的 操作 


一 个 公司 


闫 网 的 迅猛 发 展 ， 


拥有 几 十 台 上 百 台 机 器 早已 不 是 稀奇 事 ， 


多 改 配置 已 然 不 现实 ， 这 该 怎么 办 呢 ? 相信 此 时 你 已 然 明 白 运 维 自动 化 具体 是 什么 了 。 简 单 来 讲 ， 运 维 


而 Ansible 正 是 帮助 运 维 人 员 实 现 自动 化 的 工具 之 一 。 


括 避 


议 的 企业 或 个 人 都 可 以 随意 修改 和 发 布 自己 的 版 本 。 


Ansible 在 : 


网 上 定义 如 下 : Ansible is a radically simple IT automation engine。 即 Ansible 是 一 款 极其 简单 的 IT 


本 的 Ansible 官 网 中 


见 Ansible 这 款 自动 化 工 


是 这 些 模块 的 覆盖 面 的 


“ 系统 层 : 支持 的 系统 有 Linux、Windows、AIX 等 ， 对 应 的 模块 有 acl、cron、pip、easy_install、yum、authorized_key 等 大 量 的 内 置 


， 更 “过 分 ”地 使 用 Stupid Simple 来 形容 Ansible 是 “ 令 人 发 指 的 简单 ”。 在 Ansible 官 网 
的 设计 非常 注重 Simple 的 理念 。 但 Ansible 的 功能 却 非常 不 简单 ， 完 全 没有 | 


大 致 分 类 。 


自动 化 就 是 将 日 常 


巨型 公司 数 以 万 计 的 机 器 都 不 在 话 下 ， 
复 性 的 工作 通过 规则 设 定 使 其 遵循 预先 既定 规 


动 化 工 


。 这 里 特别 使 


三 


因为 使 有 


方式 上 的 简单 而 缩水 ， 


身 内 置 模块 


的 数 


模块 ; 


功能 是 帮忙 运 维 实现 IT 工作 的 自动 化 、 降 低 人 为 操作 失误 、 提 高 业务 自动 化 率 、 提 升 运 维 工作 效率 ， 常 用 于 软件 部 署 自动 化 、 配 置 自动 化 、 管 理 
自动 化 、 系 统 化 系统 任务 、 持 续集 成 、 零 罕 机 平滑 升级 等 。 它 丰富 的 内 置 模块 (如 acl|、command、shell、cron、yum、copy、file、user 等 ， 多 达 569 个 ) [0 和 开放 的 API 接 


口 向 ， 同 时 任何 遵循 GPLB] 协 


了 radically simple 来 形容 Ansible 的 简单 程度 ， 在 0.X 版 
的 通 篇 文档 中 也 不 时 使 用 Incredibly Simples、Keep lt Simple、Power+Simplicity 等 字眼 ， 可 
达 500 多 个 ， 而 且 还 在 快速 地 增加 新 模块 ， 以 下 


“ 知名 第 三 方 平台 支持 : 支持 的 云 平台 有 AWS、Azure、Cloudflare、Openstack、Google、Linode、Digital Ocean 等 ， 对 应 的 模块 有 ec2、azure_rm_deployment、cloudflare_dns、clc_aa_policy、glance_image、 


gc_storage、digital_ocean 等 ; 


“ 虚拟 化 : VMware、Docker、Cloudstack、LXC、Openstack 等 ， 对 应 的 模块 有 vmware_vmkernel、docker、cs_account、l]xc_containetr、glance_image 等 ; 


: 商业 化 硬件 : F5、ASA、Cittix、Eos 等 ， 对 应 的 模块 有 bigip_facts、asa_acl、netscaler、eos_command 等 ; 


“ 系统 应 用 层 : Apache、Zabbix、Rabbitmq、SVN、GIT 等 ， 对 应 的 模块 有 4 


GitHub 上 有 众多 开源 爱好 者 为 Ansible 贡 献 功能 模块 ， 这 些 模 块 完全 可 以 
群 模 块 ) 、Commands Modules (命令 模块 ) 、Database Modules ( 数 扩 
E 常 快 ， 如 果 公 司 在 使 


内 容 的 更 新 速度 


atC 


足 


常 工作 所 需 。 官 方 对 模块 也 从 使 


Ansible， 建 议 最 少 两 周 关注 一 次 。 


Ansible 名 字 : 


实 是 来 源 于 其 


e2_module、zabbix_group、rabbitmq_binding、subversion、 git 等 。 


作者 喜欢 的 一 本 书 一 一 奥 森 斯 科 特 -卡特 的 《 安 德 的 游戏 》， 该 书 中 Ansible 是 一 种 能 跨越 有 时空 的 即时 通信 工 


,使 


Ansible 可 以 在 相距 数 光 稀 


者 角度 进行 详细 分 类 ， 如 Cloud Modules ( 云 主 机 模块 ) 、Clustering Modules ( 集 
居 库 模块 ) 等 。 详 细 的 模块 分 类 可 参考 官方 模块 列表 : http://docs.ansible.com/ansible/modules_by_category.html， 该 网 址 


的 距离 远程 实时 控制 前 线 的 


舰队 战斗 。Michael DeHaan 希 望 借 这 个 名 词 比喻 控制 远 端 大 量 的 服务 器 ， 因 


Web 界 面 是 一 款 功能 完 


Web 化 管理 界面 的 方法 ， 并 代码 全 开源 ， 


更 多 信息 请 参考 : 


的 管理 工具 的 必 备 功能 ，Tower 是 Ansible 的 Web 化 管理 界面 ， 但 免费 版 的 容量 只 有 10 台 主机 ， 付 费 版 则 无 容量 限制 。 基 于 此 原因 


此 便 将 自己 的 这 款 产 品 命名 为 Ansible。 


“ Ansible 官 方 地 址 : https://docs.ansible.com/; 


"GitHub 地 址 : https://github.com/ansible/ansible/blob/devel/docsite/rst/index.rst; 


“ Ansible 中 文 权 威 地 址 : http://www.ansible.com.cn/。 


[命令 ansible-doc -1 可 列 出 所 有 支持 的 模块 ，Ansible 发 展 非常 快 ， 模 块 新 增 速 度 也 非常 快 ， 该 数据 的 更 新 时 间 为 2016 年 8 月 21 日 。 
[2] API 接 口 : http://docs.ansible.com/ansible/developing.html。 


， 本 书 的 第 12~ 14 章 会 介绍 搭建 属于 自己 的 
体 地址 大 家 可 从 GitHub 上 下 载 由 ， 同 时 读者 遇 到 的 问题 都 可 以 通过 QQ 群 “Ansible 中 文 权威 ”咨询 口 ， 或 在 微 信 公 众 号 四“ 运 维 部 落 ” 留言 。 


[3] GPL/GNU GPN: GNU 通 用 公共 协议 ， 维 基 百 科 地 址 如 下 。https://zh.wikipedia.org/wiki/GNU%E9%80%9%E7%94%A8%E5%85%AC9%E5%85%B19%E8%AE%B8%E5%8F%AF%E8%AF%81 


[4] https:/ /github.com/stanleylst/ansibleUI 


[5] QQ1 群 : 372011984 ( 满 ) QQ2 群 : 486022616 


[9] 微 信 公众 号 ID: linux178 


1.2 Ansible 发 展 史 


Ansible 的 第 一 个 版 本 是 0.0.1， 发 布 了 


后 ， 决 定 自己 打造 一 款 能 


其 第 一 个 版 本 号 被 非常 谨慎 地 定义 为 0.01。 到 
官方 收购 ， 在 GitHub 上 被 关注 的 势头 也 极为 迅猛 ，Star 弄 


结合 众多 工具 优点 的 


前 为 止 共 发 布 107 个 版 本 ， 最 新 稳定 版 是 Stable2.1.1.0-1， 最 新 Beat 版 Beat2.1.1.0-0.1.rc1。 值 得 一 提 的 是 ， 作 为 自动 化 工 : 


后 ， 其 未 来 发 展 潜力 更 是 不 可 估量 。 


Ansible 版 本 更 新 速度 非常 快 ， 有 了 时 会 一 天 推 


同类 自动 化 工具 


表 1-1 


Watch (关注 ) 


同类 自动 化 工具 GitHub 关 注 程度 (2016-07-10) 


Star (点 赞 ) 


Fork (复制 ) 


F2012 年 3 月 9 日 ， 其 作者 兼 创始 人 是 Michael DeHaan。Michael DeHaan 曾 经 供职 于 Puppet Labs、RedHat、Michael， 在 配置 管理 和 架构 设计 方面 有 丰富 的 经 
验 。 其 在 RedHat 任 职 期 间 主要 开发 了 Cobble， 经 历 了 各 种 系统 简化 、 自 动 化 基础 架构 操作 的 失败 和 痛苦 ， 在 尝试 了 Puppet、Chef、Cfengine、Capistrano、Fabric、Function、Plain SSH 等 各 式 工具 
自动 化 工具 ，Ansible 由 此 诞生 。 


新 秀 ，Ansibe 已 被 RedHat 
0Fork 数 是 当下 红 极 一 时 的 SaltStack 的 2 倍 多 。 同 类 自动 化 工具 GitHub 关 注 程度 如 表 1-1 所 示 。 从 表 可 以 看 出 Ansible 的 受 欢 迎 度 。 被 RedHat 收 购 


Contributors (贡献 者 ) 


1.3 ”为 什么 选择 Ansible 


Ansible 自 2012 人 年 


要 有 如 


“ Ansible 完 全 基于 Python 开发 ， 而 DevOps 在 国内 已 然 是 一 种 趋势 ，Python 被 逐步 普及 ， 运 维 人 员 自 己 开发 工具 的 门槛 逐步 


下 几 个 方面 : 


F 发 布 以 来 ， 没 多 久 便 在 美国 


开始 流行 。 


多 个 Dev 版 本 ，7 天 推出 一 个 稳定 版 本 。 所 以 使 


快速 被 IT 人 员 接 受 的 原因 较 大 方面 得 益 于 Michael DeHaan 在 美 | 


:Ansible 丰 富 的 内 置 模块 ， 甚 至 还 有 专门 为 商业 平台 开发 的 功能 模块 ， 近 600 个 模块 完全 可 以 满足 日 常 功能 所 需 ; 


“ 在 Ansible 去 中 心 化 概念 下 ， 一 个 简单 的 复制 操作 即 可 完成 管理 配置 中 心 的 迁移 ; 


国 


Ansible 的 过 程 中 也 需 多 留意 官网 的 更 新 。 


IT 圈 的 名 气 和 影响 力 。 随 后 它 逐 步 在 各 国 流行 。 而 笔者 选择 Ansible 的 原因 


降低 ， 得 益 于 此 ， 方 便 对 Ansible 二 次 开发 ; 


:Agentless (无 客户 端 ) ， 窜 户 端 无 需 任何 配置 ， 由 管理 端 配置 好 后 即 可 使 用 ， 这 点 非常 族人 。 在 第 10 章 会 介绍 如 何 部 署 配置 Windows 系 统 的 主机 端 ， 用 后 会 有 深切 的 感受 。 


考 本 书 


前 言 。 


1.4 Ansible 是 如 何 工作 的 


Ansible 没 有 客户 端 ， 因 


各 应 
考 从 官 


视频 中 的 截图 来 详 钙 
:使 用 者 


' Ansible 工 具 集 


了 解 下 其 工作 方式 ， 如 


此 底层 通信 依赖 于 系统 软件 ，Linux 系 统 下 基 了 
模块 将 指令 推送 至 被 管理 端 执行 ， 并 在 执行 完毕 后 


图 


1-1 所 示 。 根 据 Ansible 使 


FOpenSSH 通 信 ，Windows 系 统 下 基于 
自动 删除 产生 的 临时 文件 。Ansible 


过 程 中 的 不 同 角色 ， 我 们 将 其 分 为 : 


自 Ansible 发 布 后 ， 也 陆续 被 AWS、Google CloudPlatform、Microsoft Azure、Cisco、HP、VMware、Twitter 等 大 公司 接纳 并 投入 使 用 。 关 了 


笔者 个 人 与 Ansible 的 一 些 故 如 


有 ， 有 兴趣 的 朋友 可 以 参 


F PowerShell， 管 理 端 必须 是 Linux 系 统 ， 使 用 者 认证 通过 后 在 管理 节点 通过 Ansible 工 具 调 
体 的 工作 机 制 官 方 有 专栏 介绍 https://www.ansible.com/how-ansible-works， 但 整体 稍 过 简略 。 我 们 参 


“作用 对 象 


(1) 使 用 者 


如 图 1-1 中 Ansible 工 作 机 制 所 示 ，Ansible 使 用 者 来 源 于 多 种 维度 ， 图 中 为 我 们 展示 了 4 种 方式 : 


第 一 种 方式 : CMDB (Configuration Management Database， 配 置 管理 数据 库 ) ，CMDB 存 储 和 管理 着 企业 IT 架构 中 的 各 项 配置 信息 ， 是 构建 ITIL 项 目的 核心 工具 ， 运 维 人 员 可 以 组 合 CM DB 和 
Ansible， 通 过 CM DB 直接 下 发 指令 调用 Ansible 工 具 集 完 成 操作 者 所 希望 达成 的 目标 ; 


第 二 种 方式 : PUBLIC/PRIVATE 方 式 ，Ansible 除 了 丰富 的 内 置 模块 外 ， 同 时 提供 丰富 的 APl 语 言 接口 ， 如 PHP、Python、PERL 等 多 种 当下 流行 语言 ， 基 于 PUBLIC (公有 云 ) /PRIVATE (私有 
云 ) ，Ansiblel 以 API 调 用 的 方式 运行 ; 


第 三 种 方式 : USERS 直 接 使 用 Ad-Hocl 易 时 命令 集 调 用 Ansible 工 具 集 来 完成 任务 执行 ，Ad-Hoc 将 在 第 3 章 有 详细 介绍 ; 


第 四 种 方式 : USERS 预 先 编写 好 的 ANSIBLE PLAYBOOKS， 通 过 执行 Playbooks 中 预先 编排 好 的 任务 集 按 序 完 成 任务 执行 。 


(2) Ansible 工 具 集 


ansible 命 令 是 Ansible 的 核心 工具 ，ansible 命 令 并 非 自 身 完 成 所 有 的 功能 集 ， 其 只 是 Ansible 执 行 任务 的 调用 入 口 ， 大 家 可 心理 解 为 “总 指挥 ”， 所 有 命令 的 执行 通过 其 “ 调 兵 中 将” 最终 完成 。 
ansible 命 令 共有 哪些 兵 将 可 供 使 唤 呢 ?大 家 看 中 间 绿 色 框 中 有 INVENTORY (命令 执行 的 目标 对 象 配置 文件 ) 、API ( 供 第 三 方程 序 调用 的 应 用 程序 编程 接口 ) 、MODULES (丰富 的 内 置 模块 ) 、 
PLUGINS (内 置 和 可 自 定义 的 插件 ) 这 些 可 供 调 遗 。 


(3) 作用 对 象 


Ansible 的 作用 对 象 ， 不 仅仅 是 Linux 和 非 Linux 操 作 系统 的 主机 (HOSTS) ， 同 样 也 可 以 作用 于 各 类 公有 云 /私有 云 ， 商 业 和 非 商业 设备 的 网 络 设施 。 


PUBLIC/PRIVATE 
CLOUD 


USERS 


MODULES ' NETWORKING 


| 


ANSIBLE PLAYBOOK 


图 1-1 Ansible 工 作 机 制 


同样 ， 如 果 我 们 按 Ansible 工 具 集 的 组 成 来 讲 ， 由 图 1-1 可 以 看 出 Ansible 主 要 由 6 部 分 组 成 。 


“ ANSIBLE PLAYBOOKS: 任务 剧本 (任务 集 ) ， 编 排 定义 Ansible 任 务 集 的 配置 文件 ， 由 Ansible 顺 序 依次 执行 ， 通 常 是 JSON 格 式 的 YML 文 件 ; 
“ INVENTORY: Ansible 管 理 主机 的 清单 ; 

:MODULES: Ansible 执 行 命令 的 功能 模块 ， 多 数 为 内 置 的 核心 模块 ， 也 可 自 定义 ; 

“PLUGINS: 模块 功能 的 补充 ， 如 连接 类 型 插件 、 循 环 插件 、 变 量 插 件 、 过 滤 插 件 等 ， 该 功能 不 常用 。 


“ API: 供 第 三 方程 序 调用 的 应 用 程序 编程 接口 ; 


. ANSIBILE: 该 部 分 图 中 表示 的 不 明显 ， 组 合 INVENTORY、API、MODULES、PLUGINS 的 绿 框 大 家 可 以 理解 为 是 Ansible 命 令 工 具 ， 其 为 核心 执行 工具 ; 


Ansible 执 行 任务 ， 这 些 组 件 相互 调用 关系 如 图 1-2 所 示 : 
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A 
1]. Xxxxxx 


人 XXXXXX 
3 XXXXXX 
XNNK 


图 1-2 Ansible 组 件 调用 关系 


使 用 者 使 用 Ansible 或 Ansible-playbook (会 额外 读 取 Playbook 文 件 ) 时 ， 在 服务 器 终端 输入 Ansible 的 Ad-Hoc 命 令 集 或 Playbook 后 ，Ansible 会 遵循 预先 编排 的 规则 将 Playbooks 逐 条 拆 解 为 Play， 
再 将 Play 组 织 成 Ansible 可 识别 的 任务 (Task) ， 随 后 调用 任务 涉及 的 所 有 模块 (Module) 和 插件 (Plugin) ， 根 据 Inventory 中 定义 的 主机 列表 通过 SSH (Linux 默 认 ) 将 任务 集 以 临时 文件 或 命令 的 形式 
传输 到 远程 客户 端 执 行 并 返回 执行 结果 ， 如 果 是 临时 文件 则 执行 完毕 后 自动 删除 。 


1.5_ Ansible 通 信 发 展 史 


Ansible 主 推 的 卖点 是 其 无 需 任 何 Daemon 维 护 进 程 即 可 实现 相互 间 的 通信 ， 且 通信 方式 是 基于 业内 统一 标准 的 安全 可 靠 的 SSH 安 全 连接 。 同 时 因为 SSH 是 每 台 Linux 主 机 系统 必 装 的 软件 ， 所 以 Ansible 
无 需 在 远程 主机 端 安装 任何 额外 进程 ， 即 可 实现 Agentless (无 客户 端 ) ， 进 而 助力 其 实现 去 中 心 化 的 思想 。 尽 管 稳定 、 快 速 、 安 全 的 SSH 连 接 是 Ansible 通 信和 能 力 的 核心 ， 但 SSH 的 连接 效率 一 直 被 诉 病 ， 
所 以 Ansible 的 通信 方式 和 效率 在 过 去 的 数 年 中 也 在 不 停 地 改变 和 提高 。 基 于 以 上 认识 ， 我 们 先 来 了 解 Ansible SSH 的 工作 机 制 ， 再 来 回顾 其 发 展 史 。 


1.Ansible SSH 工 作 机 制 


Ansible 执 行 命令 时 ， 通 过 其 底层 传输 连接 模块 ， 将 一 个 或 数 个 文件 ， 或 者 定义 一 个 Play 或 Command 命 令 传输 到 远程 服务 器 /tmp 目 录 的 临时 文件 ， 并 在 远程 执行 这 些 Play/Comand 命 令 ， 然 后 删除 这 
些 临 时 文件 ， 同 时 回 传 整体 命令 执行 结果 。 这 一 系列 操作 在 未 来 的 Ansible 版 本 中 会 越 来 越 简单 、 直 接 ， 同 时 快速 、 稳 定 、 安 全 。 通 过 了 解 其 工作 机 制 及 其 一 直 以 来 秉承 的 去 中 心 化 思想 ， 我 们 可 以 总 
结 ，Ansible 是 非 C/S 架 构 ， 自 身 没有 Client 端 ， 其 主要 特点 如 下 。 


“ 无 客户 端 ， 只 需 安装 SSH、Python 即 可 ， 其 中 Python 建议 版 本 为 2.6.6 以 上 。 
“ 基于 OpenSSH 通 信 ， 底 层 基于 SSH 协 议 (Windows 基 于 PowerShell) 。 


“ 支持 密码 和 SSH 认 证 ， 因 可 通过 系统 账户 密码 认证 或 公私 钥 认 证 ， 所 以 整个 过 程 简单 、 方 便 、 安 全 。 建 议 使 用 公私 钥 方 式 认证 ， 因 为 密码 认证 方式 的 密码 需 明 文 写 配置 文件 ， 虽 然 配 置 文件 可 加 密 ， 
但 会 增加 Ansible 使 用 的 复杂 度 。 


' 支持 Windows， 但 仅 支 持 客户 端 ， 服 务 端 必须 是 Linux 系 统 。 


如 Ansible 官 方 介绍 ， 如 上 特性 是 希望 实现 以 下 最 终 目标 : 


:Clear (简易 ) : YAML 语 法 ，Python 语 言 编写 ， 易 于 管理 ，API 简 单 明 了 ; 

“ Fast (敏捷 ) : 快速 学 习 ， 设 置 简单 ， 无 需 任何 第 三 方 软件 ; 

:Complete (全 面 ) : 配置 管理 、 应 用 部 署 、 任 务 编排 等 功能 集 于 一 身 ， 丰 富 的 内 置 模块 满足 日 常 功 能 所 需 ; 
“ Efficient (高 效 ) : 没有 额外 软件 包 消 耗 系统 性 能 ; 


“ Secure (安全 ) : 没有 客户 端 ， 底 层 基于 OpenSSH， 保 证 通信 的 安全 可 靠 性 。 


2.Ansible 通 信 方 式 发 展 历程 


Ansible 底 层 基于 安全 可 靠 的 SSH 协 议 通 信 ， 但 一 直 被 人 们 诉 病 于 其 效率 ， 通 信 功 能 作为 Ansible 最 核心 的 功能 之 一 ， 官 方 也 一 直 在 做 改进 。 本 节 我 们 来 了 解 Ansible 通 信 发 展 史 。 


(1) Paramiko 通 信 模 块 


最 初 ，Ansible 只 使 用 Paramiko( 实现 底层 通信 功能 ， 但 是 Paramiko 只 是 Python 语 法 的 一 个 第 三 方 库 ， 发 展 速度 远 不 及 OpenSSHI 站 。 同 时 ，Paramiko 的 性 能 和 安全 性 较 OpenSSH 稍 逊 一 筹 (在 笔者 
眼 里 ) 。 


在 后 续 发 布 的 新 版 本 中 ，Ansible 仍 继续 兼容 Paramiko， 甚 至 在 诸如 RHEL5/6 等 不 支持 ControlPersistB] (只 在 OpenSSH5.6+ 版 本 中 支持 ) 的 系统 中 封装 其 为 默认 通信 模块 。 


(2) OpenSsH 


从 Ansible1.3 版 本 开始 ，Ansible 默 认 使 用 OpenSSH 连 接 实 现 各 服务 器 间 通 信 ， 以 支持 ControlPersist (持续 管理 ) 。Ansible 从 0.5 版 本 起 即 支持 OpenSSH 功 能 ， 但 直到 1.3 版 本 开始 才 将 其 设置 为 默 
认 。 


多 数 本 地 SSH 配 置 参 数 ， 诸 如 Hosts、 公 私 钥 文件 等 是 默认 支持 的 ， 但 如 果 希 望 通过 非 默 认 的 22 端 口 运 行 命令 等 操作 ， 则 需要 在 Inventory 文 件 中 配置 ansible_ssh_port 的 值 。OpenSSsH 相 比 Paramiko 
更 快 、 更 可 靠 。 


(3) 加 速 模式 


据 官网 介绍 : 开启 加 速 模 式 后 Ansible 通 信 速 度 有 质 的 提升 ， 是 开启 ControlPersist 后 的 SSH 的 2~6 倍 ， 是 Paramiko 通 信 速 度 的 10 倍 。 


尽管 加 速 模式 对 Ad-Hoc 命 令 不 友好 ， 但 是 Playbook 通 过 加 速 模式 会 收 到 更 高 的 性 能 。 加 速 模式 抛弃 SSH 多 次 连接 的 方式 ， 通 过 SSH 初 始 化 后 ， 带 着 AES key 的 初始 化 连接 信息 通过 特定 的 端口 (默认 
5099， 但 可 配置 ) 执行 命令 传输 文件 。 使 用 加 速 模式 唯一 需要 的 额外 包 是 python-keyczar， 如 此 一 来 ， 几 乎 所 有 的 常规 模块 OpenSSH/Paramiko 均 工作 在 加 速 模式 ， 但 如 下 使 用 sudo 的 情况 例外 : 


1) sudoers 文 件 需要 关闭 其 中 的 requiretty 功 能 ， 注 释 掉 或 者 设置 每 个 用 户 的 默认 值 为 username! requiretty。sudoers 的 man 文 档 说 明 如 下 。 


requiretty 
If set, sudo will only run when the user is logged in to a real tty. When this flag is set, sudo can only be run from a login session and not Via other means such as Cron(8) c 


2) 开启 加 速 模块 必须 事先 设置 sudo 文 件 NOPASSWD 配 置 ， 禁 用 sudo 后 的 PASSWORD 交 互 认 证 过 程 。 加 速 模式 相对 OpenSSH 可 以 提供 2~4 信 的 性 能 提升 (尤其 对 于 文件 传输 功能 ) ， 在 Playbook 的 
应 用 中 可 以 通过 增加 配置 开关 来 实现 。 


~ hosts; all 

accelerate: true 

accelerate port: 5099 

[http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15935/0EBPS/Text/...] 


其 中 的 端口 也 可 以 在 ansible.cfg 中 单独 配置 。 


[acceleratel] 
accelerate port = 5099 


加 速 模式 是 现在 已 经 被 废弃 的 Fireball 模 式 的 进化 版 ， 类 似 于 Ansible 加 速 通信 方式 ， 但 需 控 制 机 事先 安装 ZeroMQ 服 务 (这 与 Ansible 简 单 、 无 依赖 、 无 Daemon 的 理念 是 相 违 背 的 ) ， 并 且 一 点 也 不 支 
持 sudo 操 作 。 


(4) Faster OpenSSH in Ansible1.5+ 


Ansible1.5+ 版 本 中 的 OpenSSH 有 了 非常 大 的 改进 ，| 旧 版 本 中 实现 方式 是 复制 文件 至 远程 服务 器 后 运行 ， 然 后 删除 这 些 临 时 文件 ， 而 新 版 本 的 替代 方案 是 通过 OpenSSH 发 送 执 行 命令 ,将 所 有 操作 附带 
在 SSH 连 接 过 程 中 同步 实现 。 该 方式 只 在 Ansible1.5+ 版 本 有 效 ， 且 需 在 /etc/ansible/ansible.cfg 的 [ssh_connection] 区 域 开启 pipelining=True 功 能 。 


关于 加 速 模式 我 们 还 需要 关注 如 下 内 容 : 
“ pipelining=True 需 结合 sudo 的 requiretty 配 置 方 可 生效 ， 请 确保 /etc/sudoers 的 Defaults requiretty 为 注释 状态 。 绝 大 多 数 现 有 流行 系统 默认 开启 该 选项 。 
- 在 Mac OSX、Ubuntu、Windows 的 Cygwin 或 其 他 流行 OS 最 好 选择 5.6 以 上 的 OpenSSH 版 本 ， 这 些 版 本 对 ControlPersist 有 更 友好 的 支持 。 


“ 如 Ansible 和 运行 的 主机 系统 是 RHEL 或 CentOS， 然 而 希望 升级 当前 OpenSSH 到 最 新 版 本 以 支持 Faster/Persistent 连 接 模 式 ， 可 以 通过 yum update openssh 升 级 最 新 版 本 。 


本 节 内 容 可 以 通过 如 图 1-1 所 示 的 Ansible 通 信 方 式 发 展 史 鱼 骨 图 来 概括 ， 从 最 开始 的 Paramiko， 后 来 初步 演变 为 OpenSSH， 加 速 模式 官方 推荐 Pipelining 方 式 。 


2 1.3 版 本 合 人 该 功能 
w / 速度 是 paramiko 10 倍 
是 SSH 持久 模式 2-6 倍 


最 伊始 默认 连 


Ansible 通信 方式 发 展 史 


图 1-3 Ansible 通 信 方 式 发 展 史 


在 了 解 Ansible 通 信 原 理 及 发 展 史 后 ， 我 们 进一步 学 习 Ansible 自 身 的 发 展 史 。 要 知道 ， 在 Chef、Puppet、Saltstack、Fabric 等 自动 化 工具 群 奴 争霸 的 市 场 背景 下 ，Ansible 依 然 能 够 杀 出 重围 
GitHub 取 得 如 此 惊人 成 就 ， 并 且 被 红 帽 官方 收购 ， 其 发 展 史 不 得 不 让 人 刮目相看 。 


任 


[1] Paramiko 是 基于 Pyhton 语 言 通过 SSH2 的 开源 软件 。 
办 基于 标准 SSH 协 议 的 实现 的 应 用 遍布 开源 界 。 
[3] ControlPersist 功 能 允许 SSH 连 接 在 SSH Conf ig 配 置 的 过 期 时 间 内 长 期 保持 存活 ， 以 便 使 常用 命令 的 执行 不 必 每 次 都 经 过 最 初 的 握手 过 程 。 


1.6 ”Ansible 应 用 场景 


Ansible 底 层 基于 Python， 以 简单 著称 ， 配 置 文件 格式 也 以 INI 和 YAML 为 主 ， 与 其 他 管理 工具 相 比 ， 学 习 成 本 较 低 ， 学 习 曲 线 也 很 平滑 ， 无 论 是 基础 运 维 人 员 还 是 资深 运 维 工 程 师 都 可 以 较 快 上 手 ， 稍 
加 练习 便 可 以 熟练 掌握 。 如 果 具 备 Dev 基 础 ， 熟 悉 Python、PHP 等 主流 语言 ， 基 于 Ansible 开 放 API 接 口 做 二 次 开发 ， 可 以 灵活 有 效 地 发 挥 其 价值 。Ansible 自 身 也 包括 非常 丰富 的 内 置 模块 ， 从 Windows 系 
统 到 开源 Linux 系 统 ， 从 文件 同步 到 命令 执行 ， 从 软件 的 安全 升级 到 配置 的 维护 变更 ， 从 商业 硬件 A10、F5 到 公 ( 私 ) 有 云 AWS、Digital、VMware、Docker 等 ， 几 乎 囊括 了 运 维 日 常 所 有 的 技术 应 用 。 系 
统 下 所 有 的 操作 可 从 运 维 操作 角度 划分 为 两 类 。 


“ 文件 传输 : 文件 的 本 地 传输 和 异地 传输 ， 所 有 文件 的 空间 形态 、 时 间 形 态 变化 均 构成 文件 传输 类 操作 。 


令 执 行 : 终端 所 有 操作 对 系统 来 讲 都 是 指令 的 组 成 ， 最 终 转换 为 基础 硬件 可 接受 的 电信 号 完成 任务 集 。 对 运 维 操作 的 用 户 行为 来 讲 ， 除 文件 传输 以 外 的 其 他 操作 均 可 称 为 命令 执行 。 


入 


从 自动 化 工作 类 型 角度 归 类 如 下 。 


(1) 应 用 部 署 


现今 的 应 用 功能 越 来 越 强 大 ， 同 步 应 用 部 署 过 程 的 依赖 和 规则 也 日 趋 复杂 ， 但 对 应 用 运 维 的 要 求 没有 随 之 降低 ， 有 效 快 速 正确 平滑 的 应 用 部 署 需求 日 趋 强烈 。Ansible 内 置 网 络 、 应 用 、 系 统 、 第 三 方 云 
平台 扩展 等 完善 的 功能 模块 ， 协 助 运 维 快速 完成 应 用 的 安装 、 印 载 、 升 级 、 启 停 、 配 置 等 部 署 类 工作 ， 即 使 对 跨 平台 或 知名 的 商业 硬件 也 同样 支持 。 


(2) 配置 管理 


配置 管理 (Configuration Management，CM) 是 通过 技术 或 行政 手段 对 软件 产品 及 其 开发 过 程 和 生命 周期 进行 控制 、 规 范 的 一 系列 措施 。 配 置 管理 的 目标 是 记录 软件 产品 的 演化 过 程 ， 确 保 软件 
发 者 在 软件 生命 周期 中 各 个 阶段 都 能 得 到 精确 的 产品 配置 。 在 日 益 复杂 的 IT 环境 和 用 户 需求 下 ，Ansible 内 置 File、Template， 结 合 Jinja、Lineinfile 等 内 置 模块 ， 同 时 无 颖 结合 GitHub、GitLab、Git、 
SVN、Jenkins 等 主流 版 本 控制 和 CI 持续 集成 工具 ， 助 力 配置 管理 自动 化 。 


(3) 任务 流 编排 


有 效 保 证 Tasks 任 务 流 按 既定 规则 和 顺序 完成 事先 制订 的 目标 和 计划 ， 同 时 Roles 编 排 方式 又 能 在 一 定 程度 上 从 书写 习惯 和 代码 层 编排 上 保证 整体 项 目的 可 架构 性 和 规范 性 ， 协 助 控制 项 目 维护 成 本 不 致 


过 高 。 


串 


如 上 场景 适用 于 网 络 管理 员 、 系 统 运 维 、 应 用 运 维 、 桌 面 运 维 、DevOPps、 基 础 架构 运 维 等 多 领域 运 维 行业 ， 以 及 无 运 维 岗 但 服务 规模 又 需 有 一 定 精力 投入 维护 的 小 型 公司 ， 开 发 人 员 经 过 简单 的 了 解 
即 可 初步 上 手 。 同 样 也 适用 于 中 大 型 公司 ， 可 以 投入 人 力 、 精 力 、 财 力 对 Ansible 进 行 二 次 开发 ， 使 其 更 加 适用 。 


1.7 ”Ansible 的 安装 部 署 


了 解 完 Ansible 是 什么 、 通 信和 原理 及 发 展 史 、Ansible 发 展 历程 及 其 应 用 场景 后 ， 接 下 来 为 大 家 介绍 Ansible 的 安装 部 署 。 


Ansible 的 安装 部 署 非常 简单 ， 其 仅 依赖 于 Python 和 SSH， 而 系统 默认 均 已 安装 。 除 Windows 外 ，RedHat、Debian、CentOS、OSX[1] 均 可 作为 管理 节点 部 署 Ansible。Ansible 被 RedHat 红 帽 外 官方 
收购 后 ， 其 安装 源 被 收录 在 EPEL 中 ， 如 已 安装 EPEL 可 直接 YUM 或 APT 安 装 ， 通 过 pip 和 easy_install 的 Python 第 三 方 包 管理 器 也 可 以 便捷 安装 Ansible， 下 面 我 们 详细 介绍 部 署 方式 。 


1.7.1 PIP 方式 


Ansible 底 层 也 是 基于 Python 编写 ， 所 以 可 以 通过 PIP 方 式 安装 Ansible。 


步骤 1: 安装 python-pip 及 python-devel 程 序 包 。 


// 安装 Python-pip 程 序 包 及 python-devel，, 
yum install python-pip python-devel -y 


返回 类 似 如 下 结果 则 表示 安装 成 功 : 


Installing : python-devel-2.7.5-34.el7.x86 64 1/2 
Installing : python-pip-7.1.0-1.el7.noarch 2/2 
Verifying : python-pip-7.1.0-1.el7.noarch 1/2 
Verifying : Python-devel-2.7.5-34.e17.x86 64 2/2 
Installed: 
python-devel .x86 _64 0:2.7.5-34.e17 python-pip.noarch 0:7.1.0-1.el7 


Complete! 


步骤 2: 安装 Ansible 服 务 。 


// 安装 请 前 确保 服务 器 的 gcc、glibc 开 发 环境 均 已 安装 ， 系 统 几乎 所 有 的 软件 包 编译 环境 均 基 于 gcc， 如 不 确认 可 先 执行 如 下 命令 : 
yum install gcc glibc-devel zlib-devel rpm-build openssl-devel -y 

// 升级 本 地 PIP 至 最 新 版 本 

pip install --upgrade pip 

// 安装 Ansible 服 务 

pip install ansible -upgrade 


执行 命令 ansible--version， 有 类 似 如 下 返回 结果 则 表示 Ansible 安 装 成 功 并 可 正常 使 用 。 


ansible 2.1.1.0 
config file = /etc/ansible/ansible.cfg 
configured module search path = Default w/o overrides 


如 下 其 他 验证 安装 是 否 成 功 的 方式 也 一 样 ， 均 可 执行 ansible--version 验 证 ， 后 面 不 一 一 列 出 。 


1.7.2 YUM 方 式 


YUM (Yellow dog Updater，Modified) 是 一 个 在 Fedora 和 RedHat 以 及 CentOS 中 的 Shell 前 端 软 件 包 管理 器 。 基 于 RPM 包 管理 ， 能 够 从 指定 的 服务 器 自动 下 载 RPM 包 并 且 安 装 ， 可 以 自动 处 理 依赖 
性 关系 ， 并 且 一 次 安装 所 有 依赖 的 软件 包 ， 无 需 烦琐 地 一 次 次 下 载 、 安 装 。YUM 安 装 Ansible 过 程 如 下 : 


// 需 事先 安装 EPE1 源 后 方 可 找到 并 安装 Ansible 

rpm -Uvh https:// dl.fedoraproject .org/pub/epel/epel-release-latest-6.noarch.rpm 
// 安装 Ansible 

yum install ansible -y 


( 注 : EPEL: EPEL (Extra Packages for Enterprise Linux， 企 业 版 Linux 的 额外 软件 包 ) 是 Fedora 小 组 维护 的 一 个 软件 仓库 项 目 ， 为 RHEL/CentOS 提 供 它们 默认 不 提供 的 软件 包 。) 


安装 速度 视 网 络 情况 而 定 ， 因 为 安装 过 程 会 安装 非常 多 的 依赖 包 ， 又 因 各 系统 环境 的 差异 性 ， 如 返回 类 似 如 下 结果 则 表示 安装 成 功 : 


Installed: 
ansible.noarch 0:2.1.1.0-1.el17 

Dependency Installed: 
PyYAML.x86 64 0:3.10-11.el7 libtomcrypt.x86 64 0:1.17-23.el7 
libtommath.x86 64 0:0.42.0-4.e17 python-babel.noarch 0:0.9.6-8.el7 


python-httplib2.noarch 0:0.7.7-3.e17 python-jinja2.noarch 0:2.7.2-2.el17 
python-keyczar.noarch 0:0.71c-2.el7 python-markupsafe.x86 64 0:0.11-10.el17 
Python-Pyasn1.noarch 0:0.1.6-2.el7 python2-crypto.x86 64 0:2.6.1-9.el7 
python2-ecdsa.noarch 0:0.13-4.e17 python2-paramiko.noarch 0:1.16.1-1.el7 
sshpass.x86 64 0:1.05-5.e17 

Complete! 


1.7.3 Apt-get 方 式 


Apt-get 全 称 是 Advanced Package Tool， 是 一 款 适 用 于 UNIX 和 Linux 系 统 的 应 用 程序 管理 器 ， 适 用 于 Ubuntu、Debian 等 deb 包 管理 式 的 操作 系统 ， 主 要 用 于 自动 地 从 互联 网 的 软件 仓库 中 搜索 、 安 
装 、 升 级 、 印 载 软件 或 操作 系统 。 


// 添加 Ansible 源 

apt-add-repository -y ppa:ansible/ansible 
// 升级 库 文 件 

apt-get update 

// 安装 Ansible 

apt-get install -~y ansible 


1.7.4 ”源码 安装 方式 


源码 安装 本 身 就 是 一 道 很 高 的 门槛 ， 作 为 刚 接触 Linux 的 新 手 不 建议 使 用 该 方式 。 


在 什么 情况 下 我 们 需要 从 源 代码 安装 软件 呢 ? 其 实 源码 安装 是 相对 于 二 进 制 安装 而 言 的 ， 所 谓 的 二 进 制 安装 即 前 言 讲 到 的 ，PIP、YUM、Apt-get 都 是 二 进 制 的 安装 方式 ， 一 般 当 新 软件 推出 了 新 的 版 
本 ， 而 所 用 的 发 行 版 并 没有 及 时 跟 进 ， 这 时 候 ， 想 要 “尝鲜 的话， 就 非得 靠 自 己 而 不 可 使 用 源码 编译 安装 ; 另 一 种 情形 是 ， 不 管 是 软件 的 开发 者 还 是 现 用 的 系统 都 没有 提供 可 直接 使 用 的 二 进 制 包 ， 而 自 
己 又 非 要 使 用 该 软件 ， 那 么 也 需 源码 安装 才 行 。 当 然 ， 还 有 其 他 的 情形 。 总 而 言 之 ， 学 会 源码 安装 软件 方式 是 一 项 非常 重要 的 技能 ， 但 又 因 其 编译 环境 准备 起 来 复杂 不 霸 ， 同 时 安装 过 程 又 需 人 工 逐 一 解决 
安装 过 程 中 可 能 遇 到 的 各 项 应 用 层 依赖 和 系统 库 依赖 ， 所 以 门槛 较 高 ， 故 不 建议 初学 者 使 用 该 方式 。 


// 不 建议 安装 Beta 版 
// 安装 Git 客 户 端 
yum install git 一 Y 


( 注 : Git: Git 是 一 款 免 费 、 开 源 的 分 布 式 版 本 控制 系统 ， 用 于 敏捷 高 效 地 处 理 任何 或 小 或 大 的 项 目 。Git 可 以 有 效 、 高 速 地 处 理 从 很 小 到 非常 大 的 项 目 版 本 管理 。Git 是 Linus Torvalds 为 了 帮助 管理 Linux 
内 核 开发 而 开发 的 一 个 开放 源码 的 版 本 控制 软件 。) 


整个 安装 过 程 无 报错 ， 有 类 似 如 下 返回 结果 则 表示 安装 成 功 。 


Installed: 
git.x86 64 0:1.8.3.1-5.el17 
Dependency Installed: 
libgnome-keyring.x86 64 0:3.8.0-3.el7 perl-Error.noarch 1:0.17020-2.el17 
Perl-Git.noarch 0:1.8.3.1-5.e17 perl-TermReadKey.x86 64 0:2.30-20.el17 
Complete! 


安装 Ansible 软 件 包 。 


// 使 用 Git 将 拉 取 指定 的 Ansible 版 本 至 本 地 当前 目录 

git clone git:// github.com/ansible/ansible.git -recursive 
// 切换 至 程序 包 目 录 

cd ./ansible 

// 执行 env-setup 肢 本， 安装 Ansible 软 件 包 


source ./hacking/env-setup 


1.7.5 “验证 安装 结果 


如 上 列举 了 互联 网 主流 系统 的 Ansible 安 装 方式 ， 如 整个 过 程 均 无 报错 ， 则 执行 如 下 命令 应 有 类 似 结果 返回 : 


ansible --version 
ansible 1.9.6 


如 上 述 命令 能 正常 执行 ， 表 示 Ansible 安 装 成 功 ， 并 可 正常 使 用 。 通 常情 况 下 ，Ansible 的 安装 简单 顺利 ， 但 确实 会 有 安装 报错 的 情况 发 生 ， 多 数 情 况 是 由 本 地 复杂 的 系统 环境 导致 的 。 下 面 我 们 为 大 家 
介绍 Python 多 环境 管理 ， 来 解决 该 类 问题 。 


[由 各 类 类 UNIX 系 统 。 
[2] Linux 发 行商 之 一 。 


1.8 ”Python 多 环境 扩展 管理 


众所周知 ，Python 发 展 至 今 ， 版 本 众多 ， 部 分 版 本 功能 差异 较 大 ， 在 使 用 过 程 中 经 常 遇 到 第 三 方 库 依赖 的 Python 版 本 和 系统 Python 版 本 不 一 致 的 情况 。 同 时 又 因 系 统 底层 需 调 用 当前 版 本 python， 所 
以 不 能 随意 变更 当前 系统 Python 版 本 。 如 此 情景 下 就 会 有 Python 多 版 本 共存 的 情况 。 于 是 ，Python 多 环境 管理 工具 应 运 而 生 。 这 里 为 大 家 介绍 两 款 工具 ， 分 别 是 pyenv 和 Virtualenv。Pyenv 和 Virtualenv 
均 为 Python 管理 工具 ， 不 同 的 是 ， 前 者 是 对 Python 的 版 本 进行 管理 ， 实 现 不 同 版 本 间 的 切换 和 使 用 ;而 后 者 则 通过 创建 虚拟 环境 ， 实 现 与 系统 环境 以 及 其 他 Python 环境 的 隔离 ， 避 免 相 互 干扰 。 


1.8.1 ”Pyenv 的 部 署 与 使 用 


Pyenv 是 一 个 简单 的 Python 版 本 管理 工具 ， 以 前 叫 作 Pythonbrew。 它 让 你 能 够 方便 地 切换 全 局 Python 版 本 ， 安 装 多 个 不 同 的 Python 版 本 ， 设 置 独立 的 某 个 文件 夹 或 者 工程 目录 特异 的 Python 版 本 ， 
同时 创建 Python 虚拟 环境 (virualenv's) 。 所 有 这 些 操作 均 可 以 在 类 UNIX 系 统 的 机 器 上 (Linux 和 OS X) 不 需要 依赖 Python 本 身 执 行 ， 而 且 它 工作 在 用 户 层 ， 不 需要 任何 sudo 操 作 。 


(1) 部 署 


Pyenv 作 为 Python 的 版 本 管理 工具 ， 通 过 改变 Shell 的 环境 变量 来 切换 不 同 的 Python 版 本 ， 以 达到 多 版 本 共存 的 目的 。 该 工具 不 支持 Windows 系 统 。 具 体 工 作 原 理 如 下 。 


1) Pyenv 安 装 后 会 在 系统 PATH 中 插入 shims 路 径 ， 每 次 执行 Python 相关 的 可 执行 文件 时 ， 会 优先 在 shims 里 寻找 Python 路 径 ~/.pyenwshims: /usr/local/bin: /usr/bin: /bin; 


2) 系统 选择 Python 版 本 ， 依 如 下 顺序 选择 Python 的 版 本 : 
“ Shell 变 量 设置 (执行 pyenv shell 查 看 ) 
当前 可 执行 文件 目录 下 的 .python_version 文 件 里 的 版 本 号 (执行 pyenv shell 查 看 ) 
: 上 层 目录 查询 找到 的 第 一 个 .pyenv-version 文 件 


“ 全 局 的 版 本 号 在 ~/.pyenv/version 文 件 内 (执行 pyenv global 查 看 ) 


3) 确定 版 本 文件 的 位 置 和 Python 版 本 后 ，Pyenv 会 根据 版 本 号 在 ~/.pyenv/versions/ 文 件 夹 中 查找 对 应 的 Python 版 本 。 执 行 命令 pyenv versions 可 查看 系统 目前 安装 的 Python 版 本 。 


接 下 来 开始 部 署 Pyenv， 具 体 部 署 方式 如 下 : 


// clone pyenv 至 家 目录 

git clone git:// github.com/yyuu/pyenv.git ~/.pyenv 

// 修改 环境 变量 

echo "export PYENV ROOT="$HOME/.pyenv"' >> ~/.bashrc 
echo ‘export PATH="$PYENV ROOT/bin:$PATH"' >> ~/ .bashrc 
echo "eval "5$ (pyenv init -)"' >> ~/.bashrc 

// 重启 当前 Shell 

exec $Shell -1 


回 


执行 pyenv versions 命 令 ， 有 类 似 如 下 返 


结果 表示 安装 正常 : 


* System (set by /home/o2o/ .pyenv/version) 
| 


接 下 来 我 们 来 了 解 Pyenv 的 使 用 方式 。 


(2) 通过 Pyenv 管 理 多 Python 版 本 


Pyenv 命 令 使 用 规则 如 下 : 


Usage: pyenv <command> [<args>] 


我 们 通过 Pyenv 安 装 Python3.4.1 版 本 来 熟悉 其 用 法 。 
// 查看 可 安装 的 版 本 列表 
pyenv install -list 

// 安装 指定 的 Python 版 本 
pyenv install 3.4.1 

// 切换 当前 目录 Python 版 本 为 3.4.1 
pyenv local 3.4.1 

// 切换 全 局 目录 Python 版 本 为 3.4.1 
pyenv global 3.4.1 

// 刷新 shims 
pyenv rehash 

Pyenv 更 多 用 法 如 下 : 

commands 列 出 pyenv 的 所 有 可 用 命令 

local 设置 或 列 出 当前 环境 下 Python 版 本 号 
global 设置 或 列 出 全 局 环境 下 Python 版 本 号 
shell 设置 或 列 出 Shell 环 境 下 Python 版 本 
install 安装 指定 的 Python 版 本 
uninstall 卸载 指定 的 Python 版 本 
rehash 重新 加 载 Pyenv 的 shims 路 径 (安装 完 Python 版 本 后 需 执 行 该 命令 ) 
version 展示 当前 Python 版 本 号 及 其 生效 的 路 径 
versions 列 出 Pyenv 管 控 的 所 有 可 用 Python 版 本 
which 列 出 要 使 用 命令 的 绝对 路 径 
whence 列 出 后 缀 命令 的 所 有 可 用 版 本 


至 此 ，Pyenv 介 绍 完毕 ， 接 下 来 再 介绍 一 款 Python 多 管理 工具 Virtualenv， 它 不 是 通过 多 版 本 管理 的 方式 来 实现 系统 同时 兼容 多 Python 环境 。Virtualenv 是 底层 基于 Python 开发 的 Python 环境 隔离 工 
具 ， 其 通过 虚拟 目录 的 方式 来 实现 多 环境 的 并 存 。 其 工作 原理 很 简单 : 在 你 所 需 的 地 方 创建 工作 目录 ， 该 目录 类 似 系统 安装 的 Python 目录 ， 保 留 完整 的 Python 环境 、 解 释 器 、 标 准 库 和 第 三 方 库 等 ， 当 我 
们 需要 时 ， 切 换 环境 变量 激活 即 可 使 用 。 接 下 来 我 们 进一步 学 习 Virtualenv 的 安装 部 署 及 版 本 管理 。 


1.8.2 _ Virtualenv 的 部 署 与 使 用 


Python 的 第 三 方 包 成 于 上 万 ， 在 一 个 Python 环境 下 开发 时 间 越久 、 安 装 依赖 越 多 ， 就 越 容 易 出 现 依赖 包 冲 突 的 问题 。 为 了 解决 这 个 问题 ， 开 发 者 们 开发 出 了 Virtualenv， 它 可 以 搭建 虚拟 且 独 立 的 
Python 环 境 。 这 样 就 可 以 使 每 个 项 目 环境 与 其 他 项 目 独 立 开 来 ， 保 持 环境 的 干净 ， 避 免 包 冲突 问题 。 另 外 ， 在 开发 Python 应 用 程序 的 时 候 ， 所 有 第 三 方 的 包 都 会 被 PIP 安 装 到 系统 Python 版 本 的 site- 
packages 目 录 下 。 但 如 果 我 们 要 同时 开发 多 个 应 用 程序 ， 那 这 些 应 用 程序 会 共用 一 个 Python ， 这 意味 着 所 有 的 包 都 安装 在 系统 的 Python 目录 下 ， 这 不 仅 影响 我 们 的 正常 开发 工作 ， 还 有 可 能 因为 随意 变更 
系统 Python 版 本 信息 而 造成 系统 的 不 稳定 。 这 种 情况 下 ， 每 个 应 用 可 能 需要 各 自 拥 有 一 套 “ 独 立 ”的 Python 运行 环境 。Virtualenv 就 是 用 来 为 一 个 应 用 创建 一 套 “ 隔 离 ” 的 Python 运行 环境 的 。 下 面 我 们 
来 看 看 Virtualevn 的 部 署 ， 以 及 它 如 何 管理 Python 环境 。 


(1) 部 署 


假设 你 已 经 学 习 过 我 们 上 节 内 容 并 安装 好 PIP 了 ， 那 么 Virtualenv 的 安装 非常 简单 ， 操 作 如 下 : 


// 安装 virtualenv 
pip install virtualenv 


返回 如 下 结果 表示 安装 成 功 : 


Installing collected packages: virtualenv 
Successfully installed virtualenv-15.0.3 


(2) 通过 Virtualenv 管 理 多 Python 版 本 


需 强调 说 明 的 是 : Virtualenv 不 是 通过 多 版 本 管理 的 方式 来 实现 系统 同时 兼容 多 Python 环境 的 ， 而 是 其 通过 在 工作 目录 中 虚拟 完整 的 Python 环境 来 实现 Python 多 环境 并 存 。 接 下 来 我 们 看 Virtualenv 


的 使 用 方式 。 


Virtualenv 命 令 的 使 用 格式 如 下 : 


Virtualenv [OPTIONS] DEST _ DIR 


中 括号 OPTIONS 表 示 参 数 选项 ， 是 可 选项 ， 即 可 有 可 无 ; DEST_DIR 表 示 命 令 要 执行 的 目录 ， 如 : 


// 创建 /data/magedu/ 的 虚拟 目录 


virtualenv /data/magedu/ 


可 用 的 OPTIONS 选 项 如 下 : 


—-version el 号 。 
星 


-hi -~-help 
-Vv, --verbose ee 
-q, --quiet 


-p PYTHON EXE, en PYTHON EXE 指定 所 用 的 python 解 析 器 的 版 本 ， 比 如 --python=python2.5 就 使 用 2.5 版 本 的 解析 器 创建 新 的 隔离 环境 。 默认 使 用 的 是 当前 系统 安装 (/Usr/bin/python) 的 python 解 析 器 。 
--clear 清空 非 root 用 户 的 安装 ， 并 从 头 开始 创建 隔离 环境 。 

--no-site-packages 邻 隔离 环境 不 问 系 统 全 局 的 site-packages 目 录 。 

--SYstem-site-packages 令 隔 离 环 境 可 以 访问 系统 全 局 的 site-packages 目 录 。 

=--unzip-setuptools 安装 时 解压 Setuptools 或 Distribute。 

—-relocatable 重 定 位 某 个 已 存在 的 及 离 环境 。 使 用 该 选项 将 修正 脚本 ， 并 令 所 有 .pth 文件 使 用 相应 路 径 。 

=--dqistribute 使 用 Distribute 代 赫 Setuptools， 也 可 设置 环境 变量 VIRTUALENV _DISTRIBUTE 达 到 同样 效果 。 

-extra-search-dir=SEARCH DIRS 用 于 查找 setuptools/distribute/pip 发 布 包 的 目录 。 可 以 添加 任意 数量 的 -extra-search-dir 路 径 。 

—-never-download 禁止 从 网 正 下 载 任 何 数据 。 此 时 ， 如 果 在 本 地 搜索 发 布 包 失败 ，virtualenv 就 会 报错 。 

一 -prompt==PROMPT 定义 隔离 环境 的 命令 行 前 级 。 


下 面 详细 看 看 virtualenv 在 工作 中 的 应 用 方式 。 我 们 先 创建 一 个 /data/datafile/software/virtualpy/ 的 虚拟 工作 目录 ， 而 后 再 切换 至 虚拟 环境 。 


// 创建 虚拟 工作 目录 

virtualenv /data/datafile/software/virtualpy/ 

// 通过 source 加 载 环境 变量 ， 使 本 地 环境 切换 至 虚拟 工作 目录 
source /data/datafile/software/virtualpy/bin/activate 


看 到 如 图 1-4 所 示 的 Virtualenv 虚 拟 工作 目录 标识 ， 表 示 已 切换 至 虚拟 工作 目录 。 


CV It a Un = 2 A dy 


root@linuxlst virtual py# source /datay /datafile/ ‘sof tware/virtualpy/bin 
root@|inux virtualpy]# 
## 


1 py 
(virtualpy) virtualp 


virtualpyy) VTFEUaTDY] 
(virtualpy) OD virtualpyj]# 
virtualp root@linuxlst virtualpy]# 


图 1-4 Virtualenv 虚 拟 工作 目录 


退出 虚拟 环境 命令 如 下 : 


// 退出 虚拟 环境 


Deactivate 


看 到 如 图 1-5 所 示 的 退出 虚拟 工作 目录 显示 正常 的 BASH Shell 提 示 符 ， 表 示 即 已 退出 虚拟 工作 目录 。 


rm > er 一 一 一 一 


Cvirtualpy) [root@linuxlst virtualpy]# deactivate 
[root@linuxlst Ma 


[root@|inu 
[root@|inuxTst rl 5 图 


图 1-5 退出 虚拟 工作 目录 


至 此 ， 多 版 本 Python 环境 管理 工具 Pyenv 和 Virtualenv 介 绍 完毕 。 如 果 基 于 系统 默认 Python 版 本 安装 有 问题 ， 可 尝试 基于 Pyenv 或 Virtualenv 切 换 Python 版 本 后 ， 再 次 重 试 1.7 节 Ansible 的 安装 步骤 。 


1.9 ”本 章 小 结 


Ansible 是 运 维 自动 化 工具 的 后 起 之 秀 。 本 章 前 半 部 分 我 们 学 习 了 Ansible 是 什么 ， 底 层 通信 发 展 史 ，Ansible 发 展 历程 等 概念 性 知识 。 后 半 部 分 我 们 详细 介绍 了 Ansible 安 装 部 署 方式 ， 同 时 考虑 本 地 复 


杂 环 境 可 能 导致 的 部 署 问题 ， 本 章 后 半 部 分 我 们 也 引申 介绍 了 Python 多 环境 扩展 管理 ， 以 方便 大 家 应 对 部 署 过 程 中 可 能 出 现 的 各 类 问题 。 当 然 ，Ansible 的 部 署 总 体 非常 简单 ， 一 般 出 问题 多 数 是 因为 系统 
的 glibc、gcc 等 开发 环境 没有 安装 或 不 完整 导致 。 在 学 习 过 程 中 还 请 严格 参考 本 章 安 装 操作 步骤 循序 渐进 ， 相 信 大 家 学 完 本 章 也 有 所 体会 。 


第 2 章 ”Ansible 基 础 元 素 介绍 


第 1 章 介 绍 了 Ansible 的 功能 作用 、 通 信 发 展 史 、 基 础 的 安装 部 署 及 处 理 Ansible 安 装 问题 所 需 的 Python 多 环境 管理 工具 Pyenv 和 Virutalenv。 在 前 期 基本 工作 准备 妥当 的 基础 上 ， 本 章 进一步 深入 学 习 
Ansible 的 基础 元 素 ， 会 相继 接触 Ansible 目 录 结 构 简 介 、Ansible 系 列 命令 、Ansible Inventory 配 置 规范 、Ansible 模 式 匹配 规则 等 ， 其 中 部 分 内 容 ， 诸 如 Inventory、Ansible-playbook 等 在 后 续 涉 及 章节 
会 更 深入 介绍 。 本 章 主 要 是 为 大 家 呈现 Ansible 及 系列 命令 的 基础 入 门 介绍 ， 所 介绍 的 内 容 相互 之 间 没 有 紧密 关系 ， 可 选择 性 地 阅读 感 兴趣 章节 。 


2.1 ”Ansible 目 录 结 构 介绍 


Ansible 是 开源 工具 ， 整 个 开发 过 程 或 二 次 开发 均 遵循 GPL 协 议 ， 所 以 所 有 源码 均 可 见 。 作 为 一 款 日 常 工作 所 需 的 核心 软件 ， 我 们 有 必要 知道 
Ansible 所 有 文件 存放 目录 : 


目录 分 布 及 各 目录 功能 。 通 过 如 下 命令 我 们 可 以 获取 


# rpm -ql ansible 


该 命令 输出 内 容 较 多 ， 大 致 分 为 如 下 几 类 : 

' 配置 文件 目录 /etc/ansible/ 

“ 执行 文件 目录 /ust/bin/ 

“ Lib 库 依赖 目录 /ust/lib/pythonX.X/site-packages/ansible/ 
"Help 文档 目录 /ust/share/doc/ansible-X.X.X/ 


* Man 文 档 目 录 /usr/share/man/man1/ 


整体 的 目录 概要 可 参考 如 图 2-1 所 示 的 Ansible 目 录 树 结构 。 


配置 文件 


etc/ansible/ 


ansible.ctg 
hosts 


目 定 义 或 下 载 的 role 


可 执行 的 二 进 制 文件 


/usr/bin/ {ansiblw 、ansible-galaxy...} 


内 置 的 lib 库 文件 


pythonXXX/ 


site-packages/ 


ansible-2.1.1.0-py2.7.egg-info 


init .py 
config 
inventory 
modules 
core 
commands 


Ansible 目录 结构 


DOC 文档 存放 目录 


/usr/local/doc/ansible-XXX/ 


Man 文档 存放 目录 


/usr/share/man/manl/ 


图 2-1 Ansible 目 录 树 结构 


其 中 ， 如 下 目录 运 维 常 要 配置 ， 需 熟练 掌握 。 


1) 配置 文件 目录 /etc/ansible/， 主 要 功能 为 : 


[D 


在 /usrVlib/pythonXXX/site-packages/ 下 ， 该 目录 是 系统 当前 默认 的 Python 路 径 ， 因 


执行 文件 目录 /usr/bin/， 主 要 功能 为 : Ansible 系 列 命令 默认 存放 


录 。Ansible 所 有 的 可 执行 文件 均 存放 在 该 目录 下 。 


Ansible 源 码 的 话 可 至 该 目录 下 查看 其 工作 原理 ， 当 然 也 可 至 GitHub[1] 上 下 载 历史 或 最 新 Ansible[2] 版 本 。 


Inventory 主 机 信息 配置 、Ansible 工 具 功能 配置 等 。 所 有 Ansible 的 配置 均 存放 在 该 目录 下 ， 运 维 日 常 的 所 有 配置 类 操作 也 均 基 于 


为 Ansible 是 基于 Python 编写 的 ， 所 以 Ansible 的 所 有 lib 库 文件 和 模块 文件 也 均 存 放 了 


此 目录 进行 。 


对 


录 下 。 希 望 了 解 


DGitHub: GitHub 是 一 个 通过 Git 进 行 版 本 控制 的 软件 源 代码 托管 服务 ， 由 GitHub 公 司 ( 曾 称 Logical Awesome) 的 开发 者 Chris Wanstrath、PJ Hyett 和 Tom Preston-Werner 使 用 Ruby on Rails 编 写 而 成 。 


[2] Ansible GitHub 地 址 : https://github.com/ansible/ansible。 


2.2 ”Ansible 配 置 文件 解析 


于 定义 Ansible 的 主机 列表 配 : 


InventoryF ，Ansibl 


e 的 


身 配 置 文件 只 有 一 个 ， 即 ansible.cfg，Ansible 安 装 好 后 它 默认 存放 于 /etc/ansib 


方 ，Ansible 读 取 配 置 文件 的 顺序 依次 是 当前 命令 执行 目录 一 用 户 家 目录 下 的 .ansible.cfg 一 /etc/ansible.cfg， 先 找到 哪个 就 使 


递 或 定义 在 Playbooks 中 。 


用 


配置 文件 ansible.cfg 约 有 350 行 语句 ， 大 多 数 为 注释 行 默 认 配 置 项 。 该 文件 遵循 INI 格 式 ， 分 为 如 下 几 类 配置 。 


(1) [defaults] 


e/ 


录 下 。ansible.cfg 配 置 文 件 可 以 存在 于 多 个 地 


哪个 的 配置 。 其 ansible.cfg 配 置 的 所 有 内 容 均 可 在 命令 行 通过 参数 的 形式 传 


该 类 配置 下 定义 常规 的 连接 类 配置 ， 如 inventory、library、remote tmp、local tmp、forks、poll_interval、sudo user、ask_sudo pass、ask_pass、transport、remote_port 等 。 


defaults] 
inventory = /etc/ansible/hosts 


module name = command 
action plugins 
callback plugins 
connection plugins 


/usr/share/ansible/plugins/. 
/usr/share/ansible/plugin 


/usr/share/ansible/plug: 


lookup plugins 
vars plugins 


/usr/share/ansible/plugins/ 
/usr/share/ansible/plugins/va: 
filter plugins = /usr/share/ansible/plugins/ 
test plugins = /usr/share/ansible/plugins/te 
strategy plugins = /usr/share/ansible/plugin 
fact caching = memory 

retry files enabled = False 


[ 
# 
# 
# 
# 
# 
# 
# 
# 
# 
# 
# 
# 
# 
# 
# 
# 
# 
# 
# 
# 
# 
# 
# 
# 
# 


# 定义 Inventory 


library = /usr/share/my modules/ # 自 定义 1ib 库 存放 目录 

remote tmp = $HOME/.ansible/tmp # 临时 文件 远程 主机 存放 目录 
local tmp = $HOME/.ansible/tmp # 临时 文件 本 地 存放 目录 
forks = 5 # 默认 开启 的 并 发 数 

poll interval = 15 # 默认 轮 询 时 间 间 隔 

sudo user = root # 默认 sudo 用 户 

ask sudo pass = True # 是 否 需要 sudo 密 码 

ask pass = True # 是 否 需 要 密码 

roles path = /etc/ansible/roles # 默认 下 载 的 Roles 存 放 的 目录 
host key checking = False # 首次 连接 是 否 需要 检查 key 认 证 ， 建 议 设 为 False 
timeout = 10 # 默认 超时 时 间 

lo0g path = /var/log/ansible.log # 执行 日 志 存 放 目 录 


# 默认 执行 的 模块 


action # action 插 件 的 存放 目录 
s/callback # callback 插 件 的 存放 目录 
ins/connection # connection 插 件 的 
# 存放 目录 
Lookup 插 件 的 存放 目录 
Vars 插 件 的 存放 目录 
filter 插 件 的 存放 目录 
test 插 件 的 存放 目录 
# _ strategy 插件 的 存放 目录 
# getfact 缓 存 的 主机 信息 存放 方式 


lookup 

rs 

filter 

st 
s/strategy 


# 
# 
# 
# 


retry files save path = ~/.ansible-retry # 错误 重启 文件 存放 目录 … 
上 述 是 日 常 可 能 用 到 的 配置 ， 这 些 多 数 保持 默认 即 可 。 


(2) [privilege_escalation] 


出 于 安全 角度 考虑 ， 部 分 公司 不 希望 直接 以 root 的 高 级 管理 员 权限 直接 部 署 应 用 ， 


a 


往往 会 开放 普通 


户 权限 并 给 予 sudo 的 权限 ， 该 部 分 配 


二 


针对 sudo 


户 提 权 的 配置 。 


[privilege escalation] 


# become=True # 是 否 sudo 
# become method=sudo # sudo 方 式 
# become user=root # sudo 后 变 为 root 用 户 
# become ask pass=False # sudo 后 是 否 验证 密码 


(3) [paramiko_connection] 


定义 paramiko_connection 配 置 ， 该 部 分 功能 不 常用 ， 了 解 即 可 。 
[paramiko connection] # 该 配置 不 常用 到 
# record host keys=False # 不 记录 新 主机 的 Key 以 提升 效率 


# pty=False # 禁用 sudo 功 能 


(4) [ssh_connection] 


Ansible 默 认 使 用 SSH 协 议 连 接 对 端 主机 ， 该 部 署 是 


要 是 SSH 连 接 的 一 些 配置 ， 但 配置 项 较 少 ， 多 数 默认 即 可 。 


[ssh_connection] 
# pipelining = False 


# 管道 加 速 功能 ， 需 配合 requiretty 使 用 方 可 生效 


(5) [accelerate] 


Ansible 连 接 加 速 相关 配置 。 因 


为 有 部 分 使 用 者 不 满意 Ansible 的 执行 速度 ， 所 以 Ansible 在 连接 和 执行 速度 方面 也 在 不 断 地 进行 优化 ， 该 配置 项 在 提升 Ansibile 连 接 速 度 时 会 涉及 ， 多 数 保持 默认 即 可 。 


[accelerate] 

# accelerate port = 5099 # 加 速 连接 端口 

# accelerate timeout = 30 # 命令 执行 超时 时 间 ， 单 位 秒 

# accelerate connect timeout = 5.0 # 连接 超时 时 间 ， 单 位 秒 

# accelerate daemon timeout = 30 # 上 一 个 活动 连接 的 时 间 ， 单 位 分 钟 
# accelerate _ multi key = yes 


(6) [selinux] 


关于 selinux 的 相关 配置 几乎 不 会 涉及 ， 保 持 默 认 配置 即 可 。 


[selinux] 
# libvirt lxc noseclabel 
# libvirt lxc noseclabel 


yes 
yes 


(7) [colors] 


Ansible 对 于 输出 结果 的 颜色 也 进行 了 详尽 的 定义 且 可 配置 ， 该 选项 对 日 常 功能 应 用 影响 不 大 ， 几 乎 不 用 修改 ， 保 持 默 认 即 可 。 


colors] 

highlight = white 
verbose = blue 
warn = bright purple 
error = red 

debug = dark gray 
deprecate = purple 
skip = cyan 
unreachable = red 
ok = green 
changed = yellow 
diff add = green 
diff remove = red 
diff lines = cyan 


井 大 大 大 大 大 大 埋 埋 埋 厅 大 埋 王 


上 面 尽 可 能 全 地 介绍 了 运 维 工作 中 可 能 需要 修改 的 配置 选项 ， 除 了 在 关闭 首次 连接 提示 (host_key_checking=False) 或 提速 调整 〈[accelerate] 区 域 块 配置 调整 ) 时 可 能 会 稍 做 调整 ， 其 中 绝 大 多 数 先 
项 默认 即 可 ，Ansible 安 装 好 后 无 需 任何 改动 即 可 使 用 。 


2.3 Ansible 命 令 用 法 详解 


Ansible 命 令 行 执行 方式 有 Ad-Hoc、Ansible-playbook 两 种 方式 ，Web 化 执行 方式 其 官方 提供 了 付费 产品 Tower (10 台 以 内 免费 ) ， 个 人 的 话 可 以 基于 其 提供 的 API 开 发 类 似 的 Web 化 产品 。 关 于 命令 
行 执行 的 两 种 方式 Ad-Hoc 和 Ansible-playbooks、 什 么 是 Ad-Hoc 及 Ad-Hoc 与 Ansible-playbook 的 区 别 我 们 在 第 3 章 有 详细 介绍 ， 这 里 不 再 乾 述 。 需 简要 说 明 的 是 两 者 没有 本 质 上 的 区 别 ，Ad-Hoc 主 要 
于 临时 命令 的 执行 ，Ansibel-playbook 可 以 理解 为 Ad-Hoc 的 集合 ， 通 过 一 定 的 规则 编排 在 一 起 。 两 者 的 操作 也 极其 简便 ， 且 提供 了 如 with_items、failed_when、changed when、until、ignore_errors 
等 丰富 的 逻辑 条 件 和 Dry-run 的 Check Mode。 但 在 Chceck Mode 下 并 不 真正 执行 命令 ， 即 将 执行 的 操作 不 会 对 端 服务 器 产生 任何 影响 ， 只 模拟 命令 的 执行 过 程 是 否 能 正常 执行 。 


通过 第 1 章 的 学 习 我 们 知道 ，Ansible 的 通信 默认 基于 SSH， 因 此 我 们 需要 对 主机 先进 行 认证 。Ansible 认 证 方式 有 密码 认证 和 公私 钥 认 证 两 种 方式 ， 其 实 完全 等 同 于 SSH 的 认证 ， 所 以 这 里 关于 这 两 种 认 
证 方式 不 做 过 多 介绍 。Ansible 默 认 使 用 (笔者 也 建议 各 位 使 用 ) 公私 钥 认证 方式 ， 究 其 原因 无 非 是 出 于 安全 的 考虑 ， 密 码 不 用 明文 存放 。 以 本 机 为 例 ， 执 行 如 下 命令 即 可 添加 本 机 认证 信息 。 


// 随机 生成 公私 钥 对 ，ssh-keygen 是 Linux 下 认证 密 钥 生成 、 管 理 和 转换 工具 ， 详 细 用 法 可 参考 其 man 文 档 
ssh-keygen -N "" -b 4096 -t rsa -C "stanley@magedu.com" -f /root/.ssh/stanley.rsa 
// 为 本 机 添加 密 钥 认证 

ssh-copy-id -i /root/.ssh/stanley.rsa root@localhost 


输入 的 时 候 会 有 如 下 提示 : 


Are you sure you want to continue connecting (yes/no)? 


输入 全 小 写 的 英文 字母 yes 即 可 。 


而 后 会 有 类 似 如 下 提示 输入 对 应 root 用 户 的 密码 信息 : 


root@localhost's password: 


输入 正确 的 密码 信息 后 结果 认证 ， 随 后 在 当前 命令 行 输入 如 下 命令 尝试 免 密码 登录 : 


ssh -i /root/.ssh/stanley.rsa root@localhost 


如 不 提示 输入 密码 即 可 直接 登录 则 表示 密 钥 验 证 成 功 。 当 然 ， 这 里 只 是 为 大 家 简要 演示 密 钥 认 证 的 过 程 ， 实 际 应 用 中 为 方便 起 见 ， 一 般 会 使 用 非 root 用 户 生 成 默认 文件 名 为 id_rsa、id_rsa.pub 的 密 钥 
对 ， 在 使 用 时 通过 sudo 的 方式 获取 权限 。 


Ansible 的 命令 使 用 格式 如 下 : 


ansible <host-pattern> [options] 


<host-pattern> 是 Inventory 中 定义 的 主机 或 主机 组 ， 可 以 为 ip、hostname、Inventory 中 的 group 组 名 、 具 有 “.” 或 “*” 或“: ”等 特殊 字符 的 匹配 型 字符 串 ，< > 表示 该 选项 是 必须 项 ， 不 可 忽 


[options] 是 Ansible 的 参数 选项 ，[] 表 示 该 选项 中 的 参数 任 选 其 一 。 


Ansible 命 令 可 用 选项 非常 多 ， 这 里 列举 如 下 会 用 到 的 选项 ， 详 细 选 项 可 参考 man 或 第 3 章 。 


. -mNAME ，--module-name=NAME: 指定 执行 使 用 的 模块 。 


“ -u USERNAME，--user=USERNAME: 指定 远程 主机 以 USERNAME 运 行 命令 。 


' -S，--sudo: 相当 于 Linux 系 统 下 的 sudo 命 令 。 


' -USUDO_USERNAME ，--sudo-user=SUDO_USERNAME: 使 用 sudo， 相 当 于 Linux 下 的 sudo 命 令 。 


具体 示例 如 下 : 


// 以 bruce 用 户 执行 ping 存 活检 测 

ansible all -m ping -u bruce 

// 以 bruce sudo 至 root 执 行 ping 存 活检 测 

ansible all -m ping -~u bruce --sudo 

// 以 bruce sudo 至 batman 用 户 执行 Ping 存 活检 测 

ansible all -m ping -u bruce --sudo --sudo-user batman 


但 在 新 版 本 中 Ansible 的 sudo 命 令 废弃 ， 改 为 --become 或 -p， 如 上 命令 需 改 为 如 下 : 


// 以 bruce sudo 至 root 执 行 ping 存 活检 测 

ansible all -m ping -~u bruce -b 

// 以 bruce sudo 至 batman 用 户 执行 Ping 存 活检 测 

ansible all -m ping -u bruce -b --become-user batman 


Ansible-playbook 的 命令 用 法 和 Ansible 略 有 不 同 ， 虽 然 参数 选项 与 Ansible 有 很 多 相同 的 地 方 ， 但 也 新 增 了 针对 Ansible-playbook 特 有 的 参数 。 


Ansible-playbook 的 命令 使 用 格式 如 下 : 


ansible-playbook playbook.yml 


ansible-playbook 命 令 后 跟 事先 编辑 好 的 playbook.yml 文 件 即 可 。 本 节 只 简单 介绍 其 用 法 ， 在 第 4、5、6 章 有 大 量 内 容 介绍 其 写法 、 高 级 用 法 及 优化 方向 。Ansible-playbook 新 增 的 功能 参数 如 下 : 


: -ask-vault-pass: 加 密 playbook 文 件 时 提示 输入 密码 。 

“ -D，--diff: 当 更 新 的 文件 数 及 内 容 较 少时 ， 该 选项 可 显示 这 些 文件 不 同 的 地 方 ， 该 选项 结合 -C 用 会 有 较 好 的 效果 。 
. -eEXTRA_VARS，--extra-vars=EXTRA_VARS: 在 Playbook 中 引入 外 部 变量 。 

* --flush-cache: 将 fact 清 除 到 的 远程 主机 缓存 。 

' --force-handlers: 强制 运行 handlers 的 任务 ， 即 使 在 任务 失败 的 情况 下 。 

. iINVENTORY: 指定 要 读 取 的 Inventory 文 件 。 

“ --list-tags: 列 出 所 有 可 用 的 tags。 

“ --listrtasks: 列 出 所 有 即将 被 执行 的 任务 。 

: -Skip-tags=SKIP_TAGS: 跳 过 指定 的 tags 任 务 。 

. --start-at-task=START_AT TASK: 从 第 几 条 任务 开始 执行 。 

“ --step: 逐步 执行 Playbook 定 义 的 任务 ， 并 经 人 工 确认 后 继续 执行 下 一 步 任 务 。 
“ --syntax-check: 检查 Playbook 中 的 语法 书写 。 


“ -TAGS，--tags=TAGS: 指定 执行 该 tags 的 任务 。 


区 


在 日 常 工 作 中 ， 大 家 经 常会 遇 到 批量 添加 认证 的 问题 ， 而 逐条 添加 认证 方式 ， 如 机 械 地 对 每 台 主机 都 一 条 条 添加 认证 ， 那 是 一 件 非常 麻烦 的 


了 我 们 期 望 的 自动 化 方式 。 具 体 的 批量 添加 认证 


方式 请 参考 第 9 章 。 如 前 面 所 介绍 ，Ansible 不 仅 有 ansible、ansible-playbook 命 令 ， 还 有 ansible-galaxy、ansible-pull、ansible-doc、ansible-vault、ansible-console (2.0 版 本 新 增 ) 命令 ， 掌 握 


Ansible 的 基础 用 法 后 ， 我 们 将 更 深 一 步 学 习 Ansible 系 列 命令 。 


2.4 Ansible 系 列 命令 用 法 详解 与 使 用 场景 介绍 


如 何 获取 Ansible 的 系列 命令 呢 ? 在 终端 键入 ansible 后 连续 按 两 次 Tab 键 ， 会 补 全 所 有 以 ansible 字 母 开头 的 命令 ， 这 些 命令 均 是 Ansible 系 列 命令 。 本 节 我 们 来 逐一 介绍 Ansible 的 系列 命令 使 


* ansible 

* ansible-galaxy 

* ansible-pull 

* ansible-doc 

* ansible-playbook 


* ansible-vault 


* ansible-console 


2.4.1 ansible 


命令 ansible 是 日 常 工作 中 使 用 率 非常 高 的 命令 之 一 ，man 中 是 如 此 定义 其 功能 的 : run a command somewhere else， 可 见 其 灵活 性 。ansible 命 令 主 要 在 如 下 场景 使 用 : 


“ 非 固化 需求 


临时 一 次 性 操作 


“ 二 次 开发 接口 调用 


那么 什么 是 非 固化 需求 和 临时 一 次 性 操作 呢 ? 简单 来 讲 ， 比 如 工作 中 我 临时 想 查 看 web1 服 务 器 组 是 否 存 活 ， 或 我 想 临 时 复制 本 地 的 /etc/fstab 到 web 服 务 器 组 的 /tmp 目 录 下 做 测试 ， 类 如 这 些 没有 规律 


的 、 临 时 需要 做 的 任务 ， 我 们 称 之 为 非 固化 需求 、 临 时 一 次 性 操作 。 具 体 的 命令 使 用 如 下 : 


// 检查 服务 器 存活 

ansible webl ~—m pim 

// 复制 本 地 文件 到 远程 

ansible webl -m copy -a "src=/etc/fstab dest=/tmp/fstab owner=root group=root mode=644 backup=yes" 


Ansible 的 返回 结果 都 非常 友好 ， 一 般 会 用 3 种 颜色 来 表示 执行 结果 : 红色 、 绿 色 、 橘 黄色 。 其 中 红色 表示 执行 过 程 有 异常 ， 一 般 会 中 止 剩余 所 有 的 任务 ， 如 轿 


2-2 所 示 的 Ansible 执 行 结果 错误 的 结果 返 


回 ; 绿色 和 橘 黄 色 表示 执行 过 程 没有 异常 ， 所 有 任务 均 正常 执行 ， 但 橘 黄 色 表 示 命令 执行 结束 后 目标 有 状态 的 变化 。 如 图 2-3 所 示 ，Ansible 执 行 结果 正确 的 结果 返回 中 的 圆圈 1 为 橘 黄色 显示 ;而 绿色 表示 命 
令 执 行 结束 后 目标 没有 状态 变化 ， 如 图 2-3 中 的 圆圈 2 显示 。 


图 2-2 Ansible 执 行 结果 错误 的 结果 返回 


WN NY NM I VM MM MN I MM 


[%4 DS128 ~]# ansible localhost -m copy -a "src=/etc/fstab dest=/tmp/fstab" 
localhost | SUCCESS => { 


"changed": true, 
"checksum": "1f831laf9d44d3257ccff1l2d08541aea487f2a64c" 
: "/tmp/fstab", 
0， 
OFOUD FFOGt 
"md5sum": "aaea8f18d7647d5b02ce734592f83481", 
mode : "0644”， 
"owner": "root", 
“Secontext : "unconfined_u:object_r:admin_home_t:s0", 
S12 2 $595 
二 人 PE "/root/. ansible/tmp/ansible-tmp-1471863715 .22-98995077405044/source”" 
“State :file 
UT 


J 


DS128 J ansible localhost -m copy -a "src=/etc/fstab dest=/tmp/fstab" 


5 
oca alhost SUCCES 
'changed": fa ; 
checksum": "1 af9d4 4d3257ccffl2d08541aea487 


~ 


‘group 
"mode”" 
‘owner ; 
-mp/fstab ， 
"unconfined_ 


图 2-3 ”Ansible 执 行 结 果 正 确 的 结果 返回 


不 仅 ansible 命 令 的 执行 结果 如 此 设置 ，Ansible 系 列 命令 均 如 此 设置 ， 所 以 判断 Ansible 系 列 命令 的 执行 结果 是 否 正常 是 一 件 非常 容易 的 事情 ， 只 要 看 颜色 即 可 。 


个 


这 里 的 galaxy 和 三 星 手机 没有 任何 关系 。ansible-galaxy 的 功能 可 以 简单 地 理解 为 GitHub 或 PIP 的 功能 ， 通 过 ansible-galaxy 命 令 ， 我 们 可 以 根据 下 载 量 和 关注 量 等 信息 ， 查 找 和 安装 优秀 的 Roles。 
Roles 是 Ansible 非 常 重要 的 一 项 功能 ， 关 于 Roles 的 详细 功能 会 在 第 6 章 介绍 。 在 ansible-galaxy 上 ， 我们 可 以 上 传 和 下 载 Roles， 这 里 也 是 优秀 Roles 的 聚集 地 ， 下 载 地 址 为 ht 


ansible-galaxy 命 令 使 用 格式 如 下 : 


ansible-galaxy [init|infolinstalll|llist|remove] [--help] [options] http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15935/0EBPS/Text/... 


ansible-galaxy 命 令 分 三 大 部 分 : 

(1) [initlinfolinstallllistlremove] 

init: 初始 化 本 地 的 Roles 配 置 ， 以 备 上 传 Roles 至 galaxy。 
“info: 列表 指定 Role 的 详细 信息 。 

install: 下 载 并 安装 galaxy 指 定 的 Roles 到 本 地 。 

“ list: 列 出 本 地 已 下 载 的 Roles。 


' remove; 删除 本 地 已 下 载 的 Roles。 


Ansible2.0 版 本 中 ， 针 对 ansible-galaxy 增 加 了 login、import、delete、setup 等 功能 ， 但 这 些 功 能 需 基 于 login 在 galaxy 认 证 成 功 后 方 可 执行 ， 主 要 为 了 方便 对 galaxy 上 已 有 的 Roles 的 配置 工作 。 


(2) help 用 法 显示 [--help] 


针对 第 一 部 分 的 init、info 等 功能 ， 其 后 跟 --help 可 单独 显示 该 项 用 法 。 例 如 : 


ansible-galaxy init - -help 


执行 后 会 返回 ansible-galaxy init 选 项 的 用 法 说 明 。 


Usage: ansible-galaxy init [options] role name 


Options: 
=F foros Force overwriting an existing role 
-h, --help show this help message and exit 
-Cc, ~-ignore-certs Ignore SSL certificate validation errors. 


-Pp INIT_ PATH, --init-path=INIT PATH 


The path in which the skeleton role will be created. 


The default is the current working directory. 
-~-offline 
-S API SERVER, --server=API SERVER 

The API server destination 


-Vv, --verbose Verbose mode (-vvv for more, -vvVV to enable 
connection debugging) 
--version show program's version number and exit 


Don't query the galaxy API when creating roles 


其 他 选项 与 help 用 法 一 样 。 


(3) 参数 项 [options] 


该 部 分 结合 第 一 部 分 的 参数 完成 ansible-galaxy 完 整 的 功能 用 法 ， 如 : 


ansible-galaxy init[optionsjrole_name 即 ansible-galaxy init 后 跟 [-f|-h|-c|-p|--offline|-s SERVER|-v|--version] 参 数 ， 后 跟 role-name 成 为 一 条 完整 的 命令 。 


具体 可 参考 如 下 : 


// 下 载 用 户 hectcastro 的 Nginx 这 个 Role 到 本 地 并 忽略 错误 (默认 存放 在 /etc/ansible/roles/) 


ansible-galaxy --ignore-errors install azavea.git 


因为 ansible-galaxy 是 对 https://galaxy.ansible.com 网 站 的 上 传 、 下 载 、 配 置 类 工作 ， 如 有 类 似 如 下 报错 ， 请 确保 该 网 站 可 正常 访问 。 


the API server (galaxy.ansible.com) is not responding, please try again later. 


2.4.3 ansible-pull 


该 指令 的 使 用 涉及 Ansible 的 另 一 种 工作 模式 : pull 模 式 (Ansible 默 认 使 用 push 模 式 ) 。 这 和 通常 使 


高 并 发 线程 依旧 要 花费 很 多 时 间 ; @ 你 要 在 刚 启动 的 、 没 有 网 络 连 接 的 主机 上 运行 Ansible。 


格式 如 下 : 


ansible-pull 命 令 使 


的 push 模 式 工作 机 理 刚 好 相反 ， 其 适 


于 以 下 场景 : @ 你 有 数量 巨大 的 机 器 需要 配置 ， 即 使 使 


ansible-pull [options] [Playbook.yml] 


通过 ansible-pull 结 合 Git 和 crontab 一 并 实现 ， 其 原理 如 下 : 通过 crontab 定 期 拉 取 指定 的 Git 版 本 到 本 地 ， 并 以 指定 模式 


具体 示例 参考 如 下 : 


自动 运行 预先 制订 好 的 指令 。 


*/20 * * * * root /usr/local/bin/ansible-pull -o -C 2.1.0 -d /srv/www/king-gw/ -i /etc/ansible/hosts -U git:// git.kingifa.com/king-gw-ansiblepull >> /var/log/ansible-pull.log 


ansible-pull 通 常 在 配置 大 批量 机 器 的 场景 下 会 使 用 ， 灵 活性 稍 有 欠缺 ， 但 效率 几 3 


2.4.4 ansible-doc 


ansible-doc 是 Ansible 模 块 文档 说 明 ， 针 对 每 个 模块 都 有 详细 的 用 法 说 明 及 应 


可 以 无 限 提升 ， 对 运 维 人 员 的 技术 水 平和 前 瞻 性 规划 有 较 高 要 求 。 


案例 介绍 ， 功 能 和 Linux 系 统 man 命 令 类 似 。 该 命令 使 用 方式 如 下 : 


ansible-doc [options] 


[modulehttp://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15935/0EBPS/Text/...] 


ansible-doc 命 令 后 跟 [options] 参 数 或 [模块 名 ]， 显 示 模 块 用 法 说 明 ， 具 体 示例 如 下 : 


// 列 出 支持 的 模块 
ansible-doc -1 
// 模块 功能 说 明 
ansible-doc ping 


2.4.5 ansible-playbook 


ansible-playbook 是 日 常 应 用 中 使 用 频率 最 高 的 命令 ， 其 工作 机 制 是 : 通过 读 取 预先 编写 好 的 playbook 文 件 实现 批量 管理 。 要 实现 的 功能 与 命令 ansible 一 样 ， 可 以 理解 为 按 一 定 条 件 组 成 的 ansible 任 


务 集 。 


ansible-playbook 命 令 后 跟 YML 格 式 的 playbook 文 件 ， 执 行事 先 编排 好 的 任务 集 ， 命 令 使 用 方式 如 下 : 


ansible-playbook playbook.yml 


具体 示例 如 下 : 


// 执行 gw .yml 这 个 playlbook 中 定义 的 所 有 任务 集 
ansible-playbook gw.yml 


Playbook 具 有 编写 简单 、 可 定制 性 高 、 灵 活 方便 ， 以 及 可 固化 日 常 所 有 操作 的 特点 ， 运 维和 人 员 应 熟练 掌握 。 


2.4.6 ansible-vault 


ansible-vault 主 要 用 于 配置 文件 加 密 ， 如 编写 的 Playbook 配 置 文件 中 包含 敏感 信息 ， 不 希望 其 他 人 随意 查看 ，ansible-vault 可 加 密 / 解 密 这 个 配置 文件 ， 具 体 使 用 方式 如 下 : 


Usage: ansible-vault [createldecrypt|edit1lencrypt1rekeylview] [--help] [options] file name 


具体 示例 如 下 。 


设 定 如 下 密码 ， 加 密 a.yml 文 件 。 


ansible-vault encrypt a.yml 


会 有 以 下 输入 加 密 密 码 提示 : 


Vault password: 
Confirm Vault password: 
Encryption successful 


这 时 ， 再 打开 a.yml 文 件 后 会 发 现 该 文件 乱码 ， 只 有 通过 如 下 命令 解密 后 方 可 正常 查看 。 


ansible-vault decrypt a.yml 


输入 预 设 的 密码 后 方 可 解密 。 


Vault Password: 
Decryption successful 


此 时 a.yml 文 件 可 正常 查看 。 


到 此 ， 我 们 对 Ansible 的 用 法 及 系列 命令 已 经 有 了 概念 性 的 了 解 和 掌握 ， 接 下 来 我 们 进一步 了 解 Ansible Inventory 文 件 的 配置 管理 。 


ansible-console 是 Ansible 为 用 户 提供 的 一 款 交 互 式 工 户 可 以 在 ansible-console 虚 拟 出 来 的 终端 上 像 Shell 一 样 使 用 Ansible 内 置 的 各 种 命令 ， 这 为 习惯 于 使 用 Shell 交 互 方式 的 用 户 提供 了 良好 的 


在 终端 键入 ansible-console 命 令 后 ， 会 进入 如 图 2-4 所 示 的 类 似 Shell 一 样 的 交互 式 终端 环境 。 


和 A A i An | i ed 

[%46 DS128 /usr/local/share/man]# ansible-console 
Welcome to the ansible console. 

Type help or ? to list commands. 


root@all (4)[f:5]$ ? < 一 
Documented commands (type help <topic>): 


nagios 

netscaler 
al0_server network 
al0_service_group newrelic_deployment 
al0_virtual_server nexmo 


accelerate nmc1] 1 
ac] notification 


add_host nova_compute 


图 2-4 ansible-console 命 令 用 法 1 


到 2-4 中 的 “root@all (4) [f: 5]$” 是 提示 符 ， 该 提示 符 表 示 “ 当 前 的 使 用 用 户 @ 当 前 所 在 的 Inventory 中 定义 的 组 ， 默 认 是 all 分 组 (Inventory 中 all 组 所 有 主机 的 数量 ) [forks: 线程 数 ]$”。 


使 用 cd 命令 可 切换 至 指定 Hosts 或 分 组 ， 同 时 提示 符 的 相应 信息 也 会 随 之 变动 ， 如 图 2-5 所 示 。 


体验 。ansible-console 主 要 是 针对 1.X 版 本 中 ansible-shell 工 具 而 研发 的 ， 目 前 官网 还 没有 对 ansible-console 进 行 详细 的 用 法 说 明 ， 最 新 版 本 的 Ansible 软 件 包 也 没有 对 应 的 man 文 档 说 明 。 经 笔者 实 
，ansible-console 命 令 的 使 用 格式 如 下 。 


root@all (4) 
root@webs (3 
root@webs (3) [f: 2 


192.168.99.136 |] 
192.168.99.150 | < 
192.168.99.151 | 


图 2-5 ansible-console 命 令 用 法 2 


如 图 2-5 中 的 Ansible-console 命 令 用 法 2 所 示 ，cd 至 webs 分 组 后 ， 原 来 的 root@all (4) [f: 5]$ 也 相应 地 变更 为 root@webs (3) [f: 5]， 表 示 当 前 分 组 为 webs 分 组 ， 该 分 组 所 拥有 的 主机 总 数 为 3 台 。 


执行 forks2 后 ， 提 示 符 再 次 变更 为 root@webs (3) [f: 2]$， 表 示 设 置 并 发 的 线程 数 为 2。 


所 有 的 操作 与 Shell 类 似 ， 而 且 支 持 Tab 键 补 全 ， 如 启动 httpd 服 务 时 ， 键 入 service 后 连续 按 两 次 Tab 键 后 会 自动 补 全 剩余 的 命令 选项 。ansible-console 命 令 用 法 3 如 图 2-6 所 示 。 


root@webs (3) [后 :2]$ service 

arguments= name= runlevel= state= 

enabled= attern= sleep= 

root@webs C3) If: 2]5 service name=httpd state=started 


mm 一 A | En 人 只 ee =- 7 rn "和 ad ~ 


图 2-6 ansible-console 命 令 用 法 3 


如 需 启 动 httpd 服 务 ， 使 用 命令 service name=httpd state=started， 命 令 用 法 与 Ad-Hoc 一 致 ， 只 是 格式 上 的 使 用 习惯 不 同 而 已 。 如 想 获取 service 模 块 更 详细 的 用 法 ， 输 入 help service 命 令 即 可 。 


ansible-console 命 令 用 法 4 如 图 2-7 所 示 。 


root@webs (3)[f:2]$ help service 
Manage services. 
Parameters: 

state C(started)/cC(stopped) are idempotent actions that will not run commands un 
less necessary. C(restarted) will always bounce the service. C(reloaded) will al 
ways reload. B(At least one of state and enabled are required. 

sleep If the service is being C(restarted) then sleep this many seconds between 
the stop and start command. This helps to workaround badly behaving init scripts t 
hat exit immediately after signaling a process to stop. 

name Name of the service. 


runlevel For OpenRC init scripts (ex: Gentoo) only. The runlevel that this serv 


ice belongs to. 
pattern If the service does not respond to the status command, name a substring 


to look for as would be found in the output of the I(ps) command as a stand-in for 
a status result. If the string is found, the service will be assumed to be runni 


ng 


enabled whether the service should start on boot. B(At least one of state and en 


abled are required.) 
arguments Additional arguments provided on the command line 


Et ”Se Bs NTIE_"~e 


图 2-7 ”ansible-console 命 令 用 法 4 


使 用 完毕 如 希望 退出 ， 按 快捷 键 Ctrl+ D 或 Ctrl+C 即 可 退出 当前 的 虚拟 终端 。 


ansible-console 命 令 在 实际 工作 中 用 于 Ad-Hoc 和 Ansible-playbooks 之 间 的 场景 ， 常 用 于 集中 一 批 临 时 操作 或 命令 ,使 用 Ad-Hoc 要 键入 很 多 次 但 整体 操作 的 复杂 度 又 不 至 于 使 用 Playbooks 时 ， 这 时 


ansible-console 是 最 佳 选择 。 


Inventory 是 Ansible 管 理 主机 信息 的 配置 文件 ， 相 当 于 系统 HOSTS 文 件 的 功能 ， 默 认 存放 在 /etc/ansible/hosts。 为 方便 批量 管理 主机 ， 便 捷 使 用 其 中 的 主机 分 组 ，Ansible 通 过 Inventory 来 定义 其 主 


机 和 组 ， 在 使 用 时 通过 -i 或--inventory-file 指 定 读 取 ， 与 Ansible 命 令 结合 使 用 时 组 合 如 下 : 


则 。 


ansible -i /etc/ansible/hosts webs -m ping 


如 果 只 有 一 个 Inventory 时 可 不 用 指定 路 径 ， 默 认 读 取 /etc/ansible/hosts。lnventory 可 以 同时 存在 多 个 ， 而 且 支 持 动态 生成 ， 如 AWS EC2、Cobbler 等 均 支 持 ， 本 节 我 们 来 学 习 Inventory 的 使 用 规 


Inventory 配 置 文件 遵循 INI 文 件 风格 ， 中 括号 中 的 字符 为 组 名 。 其 支持 将 同一 个 主机 同时 归并 到 多 个 不 同 的 组 中 ， 分 组 的 功能 为 IT 人 员 维 护 主机 列表 提供 了 非常 大 的 便利 。 此 外 ,车 


默认 的 SSH 端 口 ， 还 可 以 在 主机 名 称 之 后 使 用 冒号 加 端口 号 来 标明 ， 以 行为 单位 分 隔 配置 ， 详 细 信息 可 参考 以 下 代码 中 的 注释 。 


标 主机 使 


了 非 


# “# ”开头 的 行 表示 该 行为 注释 行 ， 即 当时 行 的 配置 不 生效 
# Inventory 可 以 直接 为 TP 地 址 
192.168.37.149 
# Inventory 同 样 支持 Hostname 的 方式 ， 后跟 冒号 加 数字 表示 端口 号 ， 默 认 22 号 端口 
ntp.magedu.com:2222 
nfs.magedu.com 
# 中 括号 内 的 内 容 表 示 一 个 分 组 的 开始 ， 紧 随 其 后 的 主机 均 属 于 该 组 成 员 ， 
Web2 .magedu.com 这 台 主 机 也 属于 [websevers] 组 
[websevers] 
webl .magedu.com 
web[10:20] .magedu.com # [10:20] 表 示 10~20 之 间 的 所 有 数字 (包括 10 和 20) ， 即 表示 web10. 
magedu.com、webl1 .magedu.com…Wweb20.magedu.com 的 所 有 主机 
web2 .magedu.com[dbservers] 
db-a.magedu.com 
db-[b:f] .magedu.com # [b:f] 表 示 b 到 f 之 间 的 所 有 数字 (包括 b 和 f) ， 即 表示 db-b.magedu. 
Com、qb-e.magedu.com'…… db-f.magedu.com 的 所 有 主机 


空 行 后 的 主机 亦 属 于 该 组 ， 即 


2.5.2 ”定义 主机 变量 


在 日 常 工作 中 ， 通 常会 遇 到 非 标 准 化 的 需求 配置 ， 如 考虑 到 安全 性 问题 ， 业 务 人 员 通 常 将 企业 内 部 的 Web 服 务 80 端 口 修改 为 其 他 端口 号 ， 而 该 功能 可 以 直接 通过 修改 Inventory 配 置 来 实现 ， 在 定义 主 


针对 某 一 主机 的 个 性 化 要 求 。 


机 时 为 其 添加 主机 变量 ， 以 便 在 Playbook 中 使 


[webservers] 


webl .magedu.com http port=808 maxRequestsPerChild=801 # 自 定义 http_port 的 端口 号 为 808， 配 置 maxRequestsPerChild 为 801 


Ansible. 


2.5.3 ”定义 组 变量 


实 支持 多 种 方式 修改 或 自 定义 变量 ，Inventory 是 其 中 的 一 种 修改 方式 ， 在 第 6 章 中 我 们 会 详细 介绍 。 不 管 哪 种 修改 方式 ， 大 家 一 定 要 有 


己 的 修改 规范 ， 以 便 ] 


区 别管 理 已 有 配置 。 


Ansible 支 持 定义 组 变量 ， 主 要 针对 大 量 机 器 的 变量 定义 需求 ， 赋 予 指定 组 内 所 有 主机 在 Playbook 中 可 


[groupservers] 

webl .magedu.com 

web2 .magedu.com 

[groupservers:vars] 

ntp_server=ntp.magedu.com # 定义 groupservers 组 中 所 有 主机 ntp_server 值 为 ntp.magedu.com 


的 变量 ， 等 同 于 逐一 给 该 组 下 的 所 有 主机 赋予 同一 变量 。 定 义 组 变量 的 参考 案例 如 下 : 


2.5.4 ”定义 组 嵌 套 及 组 变量 


Inventory 中 ， 组 还 可 以 包含 其 他 的 组 ( 谋 套 ) ， 并 且 也 可 以 向 组 中 的 主机 指定 变量 。 


的 主机 指定 变量 。 


参考 示例 如 下 : 


不 过 ， 这 些 变量 只 能 在 Ansible-playpook 中 使 用 ， 而 Ansible 不 支持 。 组 与 组 之 间 可 以 相互 调 有 


， 并 且 可 以 向 组 中 


[apache] 

httpdl .magedu.com 
httpd2 .magedu.com 
[nginx] 

ngx1 .magedu .com 

ngx2 .magedu.com 
[webservers:children] 
apache 

nginx 
[webservers:vars] 
ntp_server=ntp.magedu.com 


Ansible 以 简单 为 其 核心 理念 ， 上 述 实现 在 业务 日 常 使 用 中 并 不 常见 ， 大 家 了 解 其 用 法 即 可 。 


2.5.5 “多重 变量 定义 


变量 除了 可 以 在 Inventory 中 一 并 定义 ， 也 可 以 独立 于 Inventory 文 件 之 外 单独 存储 到 YAML 格 式 的 配置 文件 中 ， 这 些 文件 通常 以 .yml、.yaml、jjson 为 后 缀 或 者 无 后 缀 。 变 量 通常 从 如 下 4 个 位 置 检索 : 


“Inventory 配 置 文件 (上 默认 /etc/ansible/hosts) 
* Playbook 中 vars 定 义 的 区 域 
“ Roles 中 vars 目 录 下 的 文件 


'“ Roles 同 级 目录 group_vars 和 hosts_vars 目 录 下 的 文件 


属于 raleigh 和 webservers 组 ， 那 么 其 变量 在 如 下 文件 中 设置 均 有 效 : 


假如 foosball 主 机 同 


/etc/ansible/group vars/raleigh # can optionally end in '.yml', '.yaml', or '.json' 
/etc/ansible/group vars/webservers 
/etc/ansible/host vars/foosball 


对 于 变量 的 读 取 ，Ansible 遵 循 如 上 优先 级 顺序 ， 因 


2.5.6 ”其 他 Inventory 参 数列 表 


此 大 家 设置 变量 时 尽量 沿用 同一 种 方式 ， 以 方便 维护 人 员 管 理 。 


于 指定 其 交互 方式 ， 如 下 列举 了 部 分 重要 参数 : 


除了 支持 如 上 的 功能 外 ，Ansible 基 于 SSH 连 接 Inventory 中 指定 的 远程 主机 时 ， 还 内 置 了 很 多 其 他 参数 ， 


ansible_ssh_host: 指定 连接 主机 ansible ssh port， 指定 SSH 连 接 端口 ， 默 认 22 
ansible _ssh_user: 指定 SSH 连 接 用 户 ansible_ ssh pass， 指定 SSH 连 接 密码 ansible sudo Pass: 指定 SSH 连 接 时 
ansible ssh private key file: 指定 特有 私 角 文件 … 


sudo 密 码 


其 他 内 置 参数 还 有 数 十 个 ， 这 些 参 数 均 可 以 直接 写 在 命令 行 或 Playbook 文 件 中 ， 以 覆盖 配置 文件 中 的 定义 。 更 多 参数 请 参考 官网 [1 ]。 


上 内置 变量 参考 网 址 : https://docs.ansible.com/ansible/intro_inventory.html# list-of-behavioral-inventory-parameters。 


2.6_Ansible 与 正则 


正则 表达 式 (Patterns) 是 各 类 高 级 语言 的 必定 支持 的 方法 之 一 ，Ansible 也 不 例外 。 其 Patterns 功 能 等 同 于 正则 表达 式 ， 语 法 使 用 也 和 正则 类 同 ， 这 大 大 便利 了 运 维 的 使 用 。 其 对 于 Ansible 的 灵活 性 
有 着 极 大 贡献 ， 该 功能 同样 支持 Ansible-playbook。 其 用 法 也 非常 简单 。 


ansible <pattern goes here> -m <module _ name> -a <arguments> 


该 功 外 


[a 


主要 针对 Inventory 的 主机 列表 使 用 ， 我 们 通过 一 些 案例 可 以 更 好 地 了 解 其 功能 及 用 法 。 在 如 下 示例 中 主要 针对 webservers 进 行 正则 匹配 : 


// 重启 webservers 组 所 有 主机 的 httpd 服 务 
ansible webservers -m service -a "name=httpd state=restarted" 


(1) All (全 量 ) 匹配 


匹配 所 有 主机 ，al| 或 * 号 功能 相同 。 如 检测 所 有 主机 存活 情况 。 


// al1 和 * 功 能 相同 ， 但 * 号 需 引 起 来 
ansible all -m ping 
ansible "*" -m ping 


检查 192.168.1.0/24 网 段 所 有 主机 存活 状况 。 


ansible 192.168.1.* -m ping 


(2) 逻辑 或 (or) 匹配 


如 我 们 希望 同时 对 多 台 主 机 或 多 个 组 同时 执行 ， 相 互 之 间 用 “: ” (冒号 ) 分 隔 即 可 。 


webl :web2 


使 用 方式 如 下 : 


ansible "webl:web2" -m ping 


(3) 逻辑 非 (! ) 匹配 


逻辑 非 用 感叹 号 (! ) 表示 ， 主 要 针对 多 重 条 件 的 匹配 规则 ， 使 用 方式 如 下 : 


// 所 有 在 webservers 组 但 不 在 Phoenix 组 的 主机 
webservers: !phoenix 


(4) 逻辑 与 (&) 匹配 


和 逻辑 非 一 样 ， 逻 辑 与 也 主要 针对 多 重 条 件 的 匹配 规则 ， 只 是 逻辑 上 的 判断 不 同 。 逻 辑 与 使 用 & 表 示 ， 请 看 如 下 示例 : 


// webservers 组 和 staging 组 中 同时 存在 的 主机 
webservers: &staging 


(5) 多 条 件 组 合 


Ansible 同 样 支持 多 条 件 的 复杂 组 合 ， 该 情况 企业 应 用 不 多 ， 这 里 做 简单 举例 说 明 。 


// webservers 和 dbservers 两 个 组 中 的 所 有 主机 在 staging 组 中 存在 且 在 Phoenix 组 中 不 存在 的 主机 
webservers:dbservers: &staging: !phoenix 


(6) 模糊 匹配 


* 通 配 符 在 Ansible 表 示 0 个 或 多 个 任意 字符 ， 主 要 应 用 于 一 些 模糊 规则 匹配 ， 在 平时 的 使 用 中 应 用 频率 非常 高 ， 请 参考 如 下 示例 : 


// 所 有 以 .magedu.com 结 尾 的 主机 均 符 合 

*.magedu.com 

// _ one 开头 .com 结 尾 的 所 有 主机 和 dbservers 组 中 的 所 有 主机 
one* .com: dbservers 


(7) 域 切 割 


Ansible 底 层 基于 Python ， 因 此 也 支持 域 切 割 。Python 字 符 串 域 切 割 的 示例 如 下 : 


str = "12345678 
print str[0:1] 


通过 [0: 1] 即 可 获取 数值 1。 该 功能 在 Ansible 中 也 支持 ， 以 如 下 Inventory 内 容 为 例 : 


[webservers] 
Cobweb 
webbing 
weber 


通过 截取 数组 下 标 可 以 获得 对 应 变量 值 。 


webservers[0] # = cobweb 
webservers[-1] # == weber 
webservers[0:1] # == webservers[0],webservers[1] 
# == cobweb,webbing 
webservers[1:] # 一 webbing,weber 
(8) 正则 匹配 
Ansible 同 样 完整 支持 正则 匹配 功能 ，“~” 开始 表示 正则 匹配 。 


~ (webldb) .*\.exampleN.com 


检测 beta.example.com、web.example.com、green.example.com、beta.example.org、web.example.org、green.example.org 的 存活 ， 使 用 如 下 匹配 模式 : 


ansible "~ (betalweb|1green)\.example\. (com|org)" -m ping 


检测 Inventory 中 所 有 以 192.168 开 头 的 服务 器 存活 信息 : 


ansible ~192\.168\.[0-9]\{N\2}.[0-9]\{2,} -m ping 


关于 Ansible 的 正则 功能 到 此 结束 ， 相 信 大 家 在 浏览 的 过 程 中 对 


灵活 程度 也 会 有 所 感触 ， 在 对 Ansible 的 实际 应 用 过 程 中 也 会 不 断 地 加 深 对 其 理解 。 


2.7 本章 小 结 


本 章 着 重 为 大 家 介绍 了 Ansible 目 录 结 构 功 能 及 Ansible 命 令 使 用 方式 。 在 对 Ansible 的 使 用 有 概念 性 的 了 解 后 ， 又 介绍 Ansible 系 列 命令 的 功能 作用 ， 通 过 简单 的 案例 加 深 对 各 命令 功能 的 理解 。 
Inventory 是 Ansible 的 核心 功能 点 之 一 ， 本 章 用 了 约 一 半 内 容 讲解 了 Inventory 的 入 门 、 书 写 规范 、 使 用 技巧 及 其 与 正则 的 结合 使 用 。 正 则 作为 运 维 必 备 技能 与 Ansible 的 结合 也 使 得 Ansible 愈 显灵 活 ， 功 能 
也 愈 显 强大 ， 请 务必 熟练 掌握 。 下 章 我 们 将 为 大 家 介绍 Ansible Ad-Hoc 命 令 集 的 进 阶 使 用 。 


第 3 章 Ansible Ad-Hoc 命 令 集 


第 2 章 介绍 了 Ansible 的 各 项 元 素 、 系 列 命令 、Inventory 基 础 ， 以 及 Ansible 与 正则 的 结合 使 用 ， 这 些 内 容 是 掌握 Ansible 的 基础 ， 请 务必 熟练 掌握 。 在 前 两 章 的 基础 上 ， 本 章 为 大 家 介绍 Ansible Ad- 
Hoc 命 令 集 ， 通 过 模拟 真实 的 企业 案例 和 应 用 场景 更 深入 地 了 解 Ansible。 作 为 Ansible 最 常用 的 命令 ， 本 节 内 容 显得 尤为 重要 。 


3.1 Ad-Hoc 使 用 场景 


所 谓 Ad-Hoc， 简 而 言 之 是 “临时 命令 ”， 英 文中 作为 形容 词 有 “特别 的 ， 临 时 ”的 含义 。Ad-Hoc 只 是 官方 对 Ansible 命 令 的 一 种 称 亩 ， 大 家 按 各 自习 惯 称 呼 即 可 。 笔 者 平时 一 般 称 之 为 “临时 操 
作 ” 或 Ansible 命 令 。 


从 功能 上 讲 ，Ad-Hoc 是 相对 Ansible-playbook 而 言 的 ，Ansible 提 供 两 种 完成 任务 方式 : 一 种 是 Ad-Hoc 命 令 集 ， 即 命令 ansible， 另 外 一 种 就 是 Ansible-playbook 了 ， 即 命令 ansible-playbook。 前 者 
更 注重 于 解决 一 些 简单 或 者 平时 工作 中 临时 遇 到 的 任务 ， 相 当 于 Linux 系 统 命令 行 下 的 Shell 命 令 ， 后 者 更 适合 于 解决 复杂 或 需 固化 下 来 的 任务 ， 相 当 于 Linux 系 统 的 Shell Scripts。 通 常 ， 深 入 Ansible 是 从 接 
触 Ansible-playbook 开 始 的 ， 灵 活 运用 Ansible-playbook 才 能 更 好 地 体会 到 Ansible 的 强大 所 在 。 


体 来 讲 ， 什 么 样 的 场景 下 我 们 需要 用 到 Ad-Hoc， 什 么 样 的 情况 下 需要 使 用 Ansible-playbook 呢 ? 


(1) 需要 使 用 Ad-Hoc 的 场景 


节假日 将 至 ， 我 们 需要 关闭 所 有 不 必要 的 服务 器 ， 并 对 所 有 服务 器 进行 节 前 健康 检查 。 


俐 时 更 新 Apache&Nginx 的 配置 文件 ， 且 需 同 时 将 其 分 发 至 所 有 需 更 新 该 配置 的 Web 服 务 器 。 


(2) 需要 使 用 Ansible-playbook 的 场景 


形 
测 


Ls 


新 购置 的 服务 器 安装 完 系统 后 需 做 一 系列 固化 的 初始 化 工作 ， 诸 如 : 定制 防火 墙 策略 、 添 加 NTP 时 间 同 步 配置 、 添 加 EPEL 源 等 。 


加 


情景 2: 


洲 


业务 侧 每 周 定期 对 生产 环境 发 布 更 新 程序 代码 。 


其 实 两 者 之 间 关 系 用 急行 军 (Ad-Hoc) 和 远征 军 (Ansible-playbook) 来 形容 可 能 更 容易 理解 。 急 行军 需 轻 装 上 阵 ， 注 重 灵活 机 动 ; 远征 军需 稳扎稳打 ， 注 重 长 远 规划 。 正 如 我 们 上 面 所 讲 ，Ad-Hoc 
更 注重 于 解决 一 些 简单 或 者 平时 工作 中 临时 遇 到 的 任务 ，Ansible-playbook 更 适合 于 解决 复杂 的 或 需 固化 下 来 的 任务 。 后 面 的 章节 中 我 们 会 介绍 大 量 企业 实战 场景 ， 相 信 大 家 会 有 更 深刻 的 体会 。 


3.2 ”Ad-Hoc 命令 集 介绍 


本 节 介 绍 通过 Ad-Hoc 命 令 集 查看 系统 设置 ， 通 过 Ad-Hoc 研 究 Ansible 的 并 发 特性 ， 通 过 Ad-Hoc 研 究 Ansible 的 模块 使 用 。 俗 话说 ， 磨 刀 不 误 砍 柴 工 。 开 始 之 前 做 一 些 简单 的 初始 化 检查 ， 如 系统 时 间 


正确 与 否 、 磁 盘 容 量 是 否 充足 等 ， 是 很 有 必要 的 。 
Oi 
在 实际 工作 中 ， 很 多 “诡异 ”问题 迫使 我 们 花费 大 量 时 间 排 查 ， 最 终 却 发 现 是 非常 简单 的 基础 环境 问题 导致 的 。 这 其 实 还 是 提 常 见 的， 不 论 对 新 手 还 是 老 乌 均 如 此 ， 谨 记 ! 


我 们 前 面 做 的 系统 时 间 正 确 与 否 、 磁 盘 容 量 是 否 充 足 等 工作 ， 其 实 Linux 下 是 有 开源 工具 可 以 帮助 我 们 自动 监 挖 的。 这 里 也 为 大 家 推荐 几 款 Linux 下 耳熟能详 的 监控 工具 ， 如 Zabbix、Nagios、Cacti、 
falcon、Cat 等 。 


3.2.1 Ad-Hoc 命 令 集 用 法 简介 


本 节 我 们 介绍 Ad-Hoc 命 令 集 用 法 。Ad-Hoc 命 令 集 由 /usr/bin/ansible 实 现 ， 其 命令 用 法 如 下 : 


ansible <host-pattern> [options] 


可 用 选项 如 下 。 


“ -V，--Vetbose: 输出 更 详细 的 执行 过 程 信息 ，-vvv 可 得 到 执行 过 程 所 有 信息 。 

* -i PATH，--inventory=PATH: 指定 inventory 信 息 ， 上 默认 /etc/ansible/hosts。 

. -ENUM，--forks=NUM: 并 发 线程 数 ， 上 默认 5 个 线程 。 

“ -ptivate-key=PRIVATE_KEY_FILE: 指定 密 铀 文件 。 

* -m NAME，--module-name=NAME: 指定 执行 使 用 的 模块 。 

: -MDIRECTORY，--module-path=DIRECTORY: 指定 模块 存放 路 径 ， 默 认 /usr/share/ansible， 也 可 以 通过 ANSIBLE_LIBRARY 设 定 默认 路 径 。 
: -aAARGUMENTS'，--args='ARGUMENTS': 模块 参数 。 

“ 上 卡 ，--ask-pass SSH: 认证 密码 。 

“ -区 ，--ask-sudo-pass sudo: 用 户 的 密码 (--sudo 时 使 用 ) 。 

* -0，--one-line: 标准 输出 至 一 行 。 

. -sS，--sudo: 相当 于 Linux 系 统 下 的 sudo 命 令 。 

“ -t DIRECTORY，--tree=DIRECTORY: 输出 信息 至 DIRECTORY 目 录 下 ， 结 果 文 件 以 远程 主机 名 命名 。 
“ -TSECONDS，--timeout=SECONDS: 指定 连接 远程 主机 的 最 大 超时 ， 单 位 是 秒 。 

“ -BNUM，--background=NUM: 后 台 执行 命令 ， 超 NUM 秒 后 中 止 正 在 执行 的 任务 。 

“ -PNUM，--poll=NUM: 定期 返回 后 台 任务 进度 。 

“ -0 USERNAME，--user=USERNAME: 指定 远程 主机 以 USERNAME 运 行 命令 。 

: -USUDO_USERNAME ，--sudo-user=SUDO_USERNAME: 使 用 sudo， 相 当 于 Linux 下 的 sudo 命 令 。 

“ -c CONNECTION，--connection=CONNECTION: 指定 连接 方式 ， 可 用 选项 paramiko (SSH) 、ssh、local，local 方 式 常用 于 crontab 和 kickstarts。 
“ -1 SUBSET，--limit=SUBSET: 指定 运行 主机 。 

: ~REGEX，--limit=~REGEX: 指定 运行 主机 (正则 ) 。 

“ --list-hosts: 列 出 符合 条 件 的 主机 列表 ， 不 执行 任何 命令 。 

下 面 的 示例 有 助 于 加 深 对 上 述 内 容 的 理解 。 


情景 1: 检查 proxy 组 所 有 主机 是 否 存 活 。 


ansible proxy -f 5 -mping 


[root@linuxlst ~=]# ansible proxy -f 5 -m ping 
192 .168.37.159 | SUCCESS | 
"changed": false, 


"ping”: "pong” 


3-1 ansibleping 命 令 返 回 结果 


执行 结果 诠释 : 


192.168.37.159 | success >> { 
"changed": false, 
"ping": "pong" 


结果 为 pong。 
情景 2: 返回 proxy 组 所 有 主机 的 hostname， 并 打印 最 详细 的 执行 过 程 到 标准 输出 。 


执行 命令 : 


其 中 192.168.37.159 是 指 命令 执行 的 主机 ，Success 表 示 命 令 执行 成 功 ，“> >{ ”表示 详 细 返 回 结果 如 下 。 “"changed": false” 表 示 没有 对 主机 做 变更 ，“"ping": 


"pong"” 表示 执行 了 ping 命 令 返 


ansible proxy -s -m command -a "hostname' -VVV 


返回 结果 如 图 3-2 所 示 。 


[root@linuxlst ~]# ansible proxy -5 -m command -a 'hostname’' -VVV 
ing /etc/ansible/ansible. cfg je gb fitle 


SEF 


Tand ， 
ev/null 2>& phe | ARA sleep 
192.168.37.159 | SUCCESS | rc=0 >> 
linuxlst 


图 3-2 ansiblehostname 命 令 返回 结果 


执行 结果 诠释 : 


<192.168.37.159> ESTABLISH CONNECTION FOR USER: root on PORT 22 TO 192.168.37.159 间 远程 主机 192.168.37.159 监 听 ROOT 用 户 的 22 号 端 
<192.168.37.159> REMOTE MODULE command hostname # 远程 执行 命令 hostname 


<192.168.37.159> EXEC /bin/sh -c 'mkdir -p $HOME/.ansible/tmp/ansible-tmp-1455684626.83-94958346638443 && echo SHOME/ ansible/tm ne tmp-1455684626.83-94958346638443' # 生 


<192.168.37.159> PUT /tmp/tmp5sawsq TO /root/.ansible/tmp/ansible-tmp-1455684626.83-94958346638443/commanqd # 改名 | 
<192.168.37.159> EXEC /bin/sh -c 'sudo -k && sudo -H -S -p "[sudo via ansible, key=urvzacjxvaagwvlrywymxpxfhjkirk 
192.168.37.159 | success | LC 0 >> # 返 果 为 success，CodeResult 为 0 

Linuxlst # 返回 的 命令 返 "下 


使 用 -vvv 参 数 可 以 清楚 地 了 解 Ansible 命 令 执 行 流程 ， 如 图 3-3 所 示 。 


-c "i"'echo BECOME-SUCCESS-urv 


生成 临时 目录 


将 /tmp/ 临 时 脚本 移动 至 SHOME/.ansible/tmp/ansible-tmp- 数 字 / 目 录 下 


返回 结果 给 控制 机 


图 3-3 Ansible 命 令 执行 流程 


青 景 3: 列 出 Web 组 所 有 主机 列表 。 


执行 命令 : 


ansible web --list 


返回 结果 如 下 : 


L063.33:21 
L053,.33.23 


执行 结果 诠释 : 


一 -list 选 项 列 出 Web 组 所 有 主机 列表 信息 ，Web 组 中 包括 10.3.33.21 和 10.3.33.23 两 台 主 机 


接 下 来 我 们 模拟 较为 复杂 的 场景 。 
青 景 4; 对 10.21.40.61 服 务 器 以 root 执 行 sSleep20， 设 置 最 大 连接 超时 时 长 为 265， 且 设置 为 后 台 运 行 模式 ， 执 行 过 程 每 2s 输 出 一 次 进度 ， 如 5s 还 未 执行 完 则 终止 该 任务 。 


执行 命令 : 


// time 命 令 可 省 ， 为 方便 观察 结果 ， 这 里 使 用 time 命 令 查看 执行 时 长 
time ansible 10.21.40.61 -B 5 -P 2 -T 2 -m command -a 'sleep 20' -u root 


返回 结果 如 图 3-4 所 示 。 


[wwalocalhost ~]$ time ansible 10.21.40.61 -B 5 -P 2 -T 2 -m command a 'sleep 20" u root 
pee The version of gmp you have installed has a known issue regarding 

timing vulnerabilities when used with pycrypto. If possible, you should update 

it (i.e. yum update gmp). 


background launch... 


10.21.40.61 | success »> 
"ansible_job_id": "182625384959.32339”， 
"results_file": “/root/.ansible_async/182625384959.32339"， 


"started”: 1 


} 


10.21.40.61 | success >> { 
"ansible_job_id": "182625384959.32339", 
"changed": false, 
"finished": 0， 
"results_file": "/root/.ansible_async/182625384959.32339", 
"started": 1 


<]Jjob 182625384959.32339> polling on 10.21.40.61, 3s remaining 
10.21.40.61 | success >> 
"ansible_job_id": "182625384959.32339”， 
"changed": talse, 
"finished": 0， 
"results_file™": "/root/.ansible_async/182625384959.32339", 
"started"”: 1 


} 
<job 182625384959.32339> polling on 10.21.40.61, ls remaining 


real Om10.268s 
USer 0ml1.898s 
sys _ Om0.163s 


图 3-4 返回 结果 


执行 结果 诠释 : 


第 1 行 : [WARNING] 不 用 理会 ， 需 于 不 影 ; 

<job 182625384959. 32339> bolling on 10.21.40.61, 3s remaininm 
<job 182625384959.32339> polling on 10.21.40.61，1s remaining 志 
real 


Oi 


细心 的 朋友 会 发 现 ， 我 们 sleep20 表 示 暂 停 20s， 即 该 命令 最 少 执行 时 长 为 20s， 但 为 什么 redl 程 序 实际 运行 时 长 只 有 10s 呢 ?这 就 是 -B 选 项 的 意义 了 ， 如 果 超 过 其 指定 时 间 则 终止 正在 执行 的 任务 (但 real 为 
什么 是 10.268s 而 不 是 5.268s， 经 笔者 实测 ，-B 功 能 生效 但 时 间 不 精确 ,正式 使 用 前 请 多 测试 ) 。 


以 上 为 Ad-Hoc 命 令 集 的 用 法 说 明 ， 后 面 的 章节 我 们 会 通过 更 复杂 的 实例 深入 了 解 其 功能 


3.2.2 ”通过 Ad-Hoc 查 看 系统 设置 


3.2.1 节 为 大 家 介绍 了 Ad-Hoc 的 命令 集 用 法 ， 本 节 我 们 通过 df、free 命 令 查看 系统 设置 ， 但 是 是 通过 Ad-Hoc 实 现 的 ， 在 此 过 程 中 帮助 大 家 了 解 Ansible。 我 们 模拟 如 下 两 个 场景 。 


青 景 1: 批量 查看 apps 组 所 有 主机 的 磁盘 容量 (使 用 command 模 块 ) 。 


ansible apps -a "df -lh" 


结果 如 下 : 


192.168.37.130 | success | rc=0 >> 
Filesystem Size Used Avail Uses Mounted on 
/dev/mapper/vg_linuxlst-lv root 

19G 3.6G 14G 21g / 


tmpfs 123M 0 123M 0% /dev/shm 
/dev/sdal 485M 29M 431M 7% /boot 
192.168.37.155 | success | rc=0 >> 

Filesystem Size Used Avail Uses Mounted on 
/dev/mapper/vg linuxlst-lv root 18G 4.9G 12G 

tmpfs 144M 0 144M 

/dev/sdal 485M 33M 427M 
192.168.37.142 | success | rc=0 >> 

Filesystem Size Used Avail 
/dev/mapper/vg linuxlst-lv root 18G 5.4G 12G 

tmpfs 加 144M 0 144M 

/dev/sdal 485M 33M 427M 
192.168.37.156 | success | rc=0 >> 

Filesystem Size Used Avail 
/dev/mapper/vg_linuxlst-lv root 8.4G 6.4G 1.6G 

tmpfs 140M 0 140M 

/dev/sdal 485M 35M 426M 

/dev/sdb5 20G 3.0G 16G 16% /data2 


执行 结果 诠释 : 


以 192.168.37.130 的 返回 为 例 ，success 表 示 命 令 执 行 成 功 ，rc=0 表 示 ResultCode=0， 即 命令 返回 结果 ， 返 回 码 为 0， 表 示 命 令 执 行 成 功 ，>> 后 面 跟 的 内 容 相 当 于 在 主机 本 地 执行 df - lh 后 的 结果 返回 。 


情景 2: 批量 查看 远程 主机 内 存 使 用 情况 (shell 模 块 ) 。 


执行 命令 : 


ansible apps -m shell -a "free -m' 


返回 结果 如 下 : 
192.168.37.142 | success | rc=0 >> 

total used free shared buffers cached 
Mem: 286 282 4 0 34 119 
-/+ buffers/cache: 128 158 
Swap: 2015 668 1347 
192.168.37.130 | success | rc=0 >> 

total used free shared buffers cached 
Mem: 244 188 56 0 30 101 
-/+ buffers/cache: 56 187 
Swap: 1023 0 1023 
192.168.37.155 | success | rc=0 >> 

total used free shared buffers cached 
Mem: 286 217 69 0 84 63 
-/+ buffers/cache: 68 218 
Swap: 2015 0 2015 
192.168.37.156 | success | rc=0 >> 

total used free shared buffers cached 
Mem: 279 251 28 0 2 3 
-/+ buffers/cache: 188 91 
Swap: 1023 22 1001 
执行 结果 诠释 : 


以 192.168.37.142 的 返回 为 例 ，success 表 示 命 令 执行 成 功 ，rCc=0 表 示 ResultCode=0， 即 命令 返回 结果 ， 返 回 码 为 0， 表 示 命令 执行 成 功 ，>> 后 面 跟 的 内 容 相 当 于 在 主机 本 地 执行 Eree-m 后 的 结果 返回 。 


通过 上 面 两 个 场景 的 示例 相信 大 家 对 Ad-Hoc 的 用 法 有 一 定 的 了 解 ， 接 下 来 的 章节 我 们 进一步 学 习 Ansible 的 并 发 特性 。 


3.2.3 ”通过 Ad-Hoc 研 究 Ansible 的 并 发 特性 


如 3.2.1 节 所 讲 ，Ansible 和 Ansible-playbook 默 认 会 fork5 个 线程 并 发 执行 命令 ， 但 在 实际 工作 中 ， 如 果 主 机 数量 众多 ，Ansible 并 发 5 个 线程 是 远 不 能 
性 。 我 们 通过 如 下 测试 来 更 深入 地 了 解 Ansible 的 并 发 工作 模式 。 


场景 如 下 : 我 们 定义 [apps] 组 ， 多 次 执行 同样 的 Ad-Hoc 命 令 来 查看 其 返回 的 结果 。 
以 下 是 执行 步骤 。 
步骤 1: 定义 [apps] 组 ,编辑 /etc/ansible/hosts 的 配置 。 


执行 命令 vi/etc/ansible/hosts， 刍 入 i 进入 vi 编辑 模式 ， 跳 转 到 文件 最 末尾 ， 添 加 如 下 配置 : 


足 企业 所 需 的 ， 所 以 本 节 介绍 Ansible 的 并 发 特 


[apps] 

192.168.37.130 
192.168.37.155 
192.168.37.142 
192.168.37.156 


步骤 2: 多 次 执行 Ansible 命 令 ， 执 行 命令 如 下 : 


ansible apps -m ping -f 3 


步骤 3: 对 比 返回 结果 ， 如 表 3-1 所 示 。 


表 3-1 返回 结果 对 比 


第 1 次 返回 结果 第 2 次 返回 结果 


192.168.37.130 | success >> { 


192.168.37.130 | success >> { nc d": fal 
changed": false, 


"changed": false, 


Wa 由 


"ping": "pong" 


Wh 


"ping": "pong" 


192.168.37.155 | success >> { 


192.168.37.142 | success >> { "ch do: fal 
changed": false, 


"changed": false, 


UL 


"ping": "pong" 


"ping": "pong" 


~ 


192.168.37.142 | success >> { 
"changed": false, 
"ping": "pong" 


192.168.37.155 | success >> { 


"changed": false, 


WW 


"ping": "pong" 


192.168.37.156 | success >> { 


192.168.37.156 | Success >> { 
"changed": false, 


"changed": false, 
"ping": "pong" 


Wl 


"ping": "pong" 


返回 结果 分 析 如 下 : 
1) 同样 的 命令 多 次 执行 ， 但 每 次 的 输出 结果 都 不 一 定 一 样 。 


2) 输出 结果 不 是 按照 /etc/ansible/hosts 中 [apps] 定 义 的 主机 顺序 输出 。 


3) 结果 输出 基本 上 遵循 每 次 输出 3 条 记录 (线程 池 始 终 保持 3 个 线程 ， 所 以 这 里 如 果 每 次 输出 小 于 等 于 3 都 是 正常 的 ) 。 


通过 上 面 的 实验 我 们 对 Ansible 的 并 发 性 有 了 概念 性 的 了 解 。 回 到 前 面 的 问题 ， 企 业 实际 应 用 中 ， 如 主机 数量 很 多 ， 我 们 需 调 大 线程 数 ， 该 如 何 操作 呢 ? 这 里 Ansible 为 我 们 提供 了 便捷 的 选项 ，-f 指 定 
线程 数 ， 如 -人 表示 并 发 启动 一 个 线程 ，-f10 则 表示 同时 启动 10 个 线程 并 发 执行 命令 。 其 实 查看 源码 可 知 ，Ansible 使 用 multiprocessing 管 理 多 线程 。 


Os 


单 台 主 机 的 性 能 始终 有 限 ， 大 家 根据 自己 机 器 实际 的 硬件 配置 做 调整 ， 建 议 并 发 数 配 置 的 CPU 核 数 偶数 倍 就 好 。 如 4Cores8GB 的 服务 器 ， 建 议 最 多 并 发 20 个 线程 。 关 于 Ansible 的 性 能 ， 后 面 章 节 会 为 大 家 
介绍 Ansible 的 加 速 模式 。 


3.2.4 ”通过 Ad-Hoc 研 究 Ansible 的 模块 使 用 


前 面 的 章节 为 大 家 详细 介绍 了 Ad-Hoc 的 命令 集 使 用 方法 及 其 并 发 特性 等 ， 那 么 ，Ansible 究 竟 有 多 少 现成 功能 可 供 大 家 使 用 呢 ? 本 节 来 为 大 家 介绍 Ad-Hoc 的 模块 使 用 。 


截至 本 篇 编写 时 (2016-2-11) ， 官 方 呈现 的 所 有 可 用 模块 为 468 个 (2016-8-19 所 有 可 用 模块 为 622 个 ， 短 短 6 个 月 增加 了 154 个 ， 可 见 Ansible 的 发 展 速 度 ) ， 所 有 模块 官方 也 做 了 详尽 的 功能 分 类 。 
明细 可 参考 官方 链接 中 0。 另外 ，Ansible 也 提供 了 类 似 于 man 功 能 的 help 说 明 工具 ansible-doc， 直 接 按 回 车 键 或 输入 -h 显 示 功 能 用 法 。 它 和 Linux 系 统 下 的 man 命 令 一 样 重要 ， 正 式 学 习 Ansible 模 块 使 
前 ， 有 必要 先 了 解 ansible-doc 用 法 。 


命令 用 法 : 


ansible-doc [options] [modulehttp://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15935/0EBPS/Text/...] 


可 用 选项 如 下 。 


“ -Version; 显示 工具 版 本 号 。 

“ -h，--help: 显示 该 help 说 明 。 

* -MMODULE_PATH, --module-path=MODULE_PATH: 指 定 Ansible 模 块 的 默认 加 载 目 录 。 
“ -1，--list: 列 出 所 有 可 用 模块 。 

“ -s，--snippet: 只 显示 playbook 说 明 的 代码 段 。 

' -vw: 等 同 于 一 version， 显 示 工 具 版 本 号 。 


下 面 我 们 看 些 简单 的 示例 。 


情景 1: 显示 所 有 可 用 模块 。 


ansible-doc -1 


返回 结果 如 下 : 

al0_server Manage Al0 Networks AX/SoftAX/Thunder/vThunder devices 
al0_ service group Manage Al0 Networks AX/SoftAX/Thunder/vTIhunder devices 
al0 virtual server Manage Al0 Networks AX/SoftAX/Thunder/vThunder devices 
acl 本 Sets and retrieves file ACL information. 

add host add a host (and alternatively a group) to the ansible-playboohttp://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompresse 
airbrake deployment Notify airbrake about app deployments 

alternatives Manages alternative programs for common commands 
apache2 module enables/disables a module of the Apache2 webserver 
apt Manages apt-packages 

apt_key Add or remove an apt key 

apt_ repository Add and remove APT repositories 

apt_rpmapt_rpm package manager 

arista interface Manage physical Ethernet interfaces 

arista 1l2interface Manage layer 2 interfaces 

arista lag Manage port channel (lag) interfaces 

arista vlan Manage VLAN resources 

assemble Assembles a configuration file from fragments:… 


情景 2: 以 yum 模 块 为 例 ， 我 们 希望 获取 yum 模 块 的 HELP 说 明 。 


执行 命令 : 


ansible-doc yum 


返回 结果 如 下 : 


> YUM 
Installs, upgrade, removes, and lists packages and groups with the 
“yum' package manager. 
Options (= is mandatory): 
- conf file 
The remote yum configuration file to use for the transaction. 
[Default: None]… 


其 他 模块 HELP 说 明 以 此 类 推 即 可 。 下 面 通过 Ansible 内 置 模 块 来 完成 一 些 具体 工作 。 
【示例 1】 安 装 redhat-lsb 并 查看 服务 器 系统 版 本 号 。 
步骤 1: 安装 redhat-lsb。 


执行 命令 : 


ansible apps -m yum -a 'name=redhat-lsb state=present 


返回 结果 如 下 : 


192.168.37.142 | success >> { 
"changed": false, 


"msg™: my 
"pans fd 
"results": [ 


"redhat-1sb-4.0-7.e16.centos.i686 providing redhat-lsb is already installed" 
] 


其 中 : 
"changed": 主机 是 否 有 变更 ，true 为 有 ; false 为 没有 (第 1 次 运行 或 事先 没有 安装 ， 返 回 值 一 般 是 true， 否 则 为 false) 。 


"msg": 安装 过 程 信息 。 


"rc": 0，resultcode: 结果 返回 码 ， 非 0 返回 码 往往 是 红色 并 且 错 误 的 返回 ， 非 常 明显 。 


步骤 2: 查看 系统 版 本 号 。 


执行 命令 : 


ansible apps -m command -a "1sb release -a' 


返回 结果 如 下 : 

192.168.37.155 | success | rc=0 >> 

Version: :base-4.0-ia32:base-4.0-noarch:core-4.0-ia32:core-4.0-noarch:graph 
LSB 


ics-4.0-ia32:graphics-4.0-noarch:printing-4.0-ia32:printing-4.0-noarch 
Distributor ID: CentOS 


Description: CentOS release 6.5 (Final) 
Release: 名 和 

Codename : FEinal… 

部 分 执行 结果 诠释 : 


192.168.37.155: 表示 命令 执行 的 对 象 。 
success: 表示 命令 执行 的 返回 状态 为 成 功 状态 。 
rc=0: 表示 命令 执行 的 状态 码 为 0。 


> > : 该 符号 后 返回 的 所 有 内 容 为 执行 Isb_release-a 命 令 返 回 的 信息 。 


LSB Version: 表示 该 系统 的 内 核 版 本 信息 。 
Distributor 1D: 表示 发 行 厂商 。 

Description: 表示 版 本 简要 信息 。 

Release: 表示 该 系统 的 发 行 版 本 号 。 

Codename: 表示 发 行 版 本 代号 。 

【示例 2】 为 所 有 服务 器 安装 ntp 服 务 ， 并 设置 为 开机 启动 。 
步骤 1: 安装 ntp 服 务 。 


执行 命令 : 


ansible apps -s -m yum -a "name=ntp state=present" 


步骤 2: 启动 ntp 服 务 ， 并 设置 为 开机 启动 。 


执行 命令 : 


ansible apps -m service -a "name=ntpd state=started enabled=yes" 


返回 的 结果 不 再 一 一 为 大 家 列举 出 来 ， 相 信 上 面 那么 多 的 示例 ， 大 家 对 如 何 判断 结果 是 否 正确 能 够 理解 了 。 
op 


如 Linux 所 有 命令 的 用 法 一 样 ， 我 们 只 能 记 住 日 常 工作 中 最 常用 到 的 那些 ， 另 外 那些 不 常用 的 命令 用 法 我 们 只 需要 知道 如 何 快速 获取 它们 的 用 法 即 可 。Linux 系 统 为 我 们 提供 了 man 工 具 来 快速 获取 所 需 。 
ansible-doc 则 等 同 于 man 的 功能 和 作用 ， 这 样 解释 相信 大 家 会 更 容易 理解 其 重要 性 。 


[由 模块 链接 : http://docs.ansible.com/ansible/modules_by_category.html。 


3.3 ”Ad-Hoc 组 管理 和 特定 主机 变更 


3.2 节 为 大 家 介绍 了 Ansible 模 块 列表 及 HELP 说 明 获 取 方 式 。 日 常 运 维 工作 中 ， 我 们 往往 会 将 负责 相同 场景 应 用 的 主机 划分 为 一 个 组 ， 以 方便 统一 管理 。Ansible 也 提供 了 简洁 但 强大 的 组 管理 功能 。 同 
时 ， 我 们 也 可 能 遇 到 只 针对 这 组 主机 中 一 台 或 某 些 主机 做 变更 的 场景 ， 针 对 这 些 复杂 多 变 的 企业 场景 ， 本 节 我 们 将 深入 了 解 Ad-Hoc 组 管理 和 特定 主机 变更 ， 进 一 步 了 解 Ansible 如 何 应 对 复杂 多 变 的 企业 环 
境 。 


3.3.1 Ad-Hoc 组 定义 


Ad-Hoc 的 组 功能 定义 在 Inventory 文 件 中 ， 默 认 路 径 是 /etc/ansible/hosts， 书 写 格式 遵循 INI 风 格 ， 中 括号 中 的 字符 为 组 名 。 可 以 将 同一 个 主机 同时 归并 到 多 个 不 同 的 组 中 ; 此 外 ， 若 目标 主机 使 用 了 
非 默认 的 SSH 端 口 ， 还 可 以 在 主机 名 称 之 后 使 用 冒号 加 端口 号 来 标明 。 下 面 通过 实际 案例 来 了 解 Inventory 文 件 的 书写 规则 。 


如 下 为 Inventory 文 件 示例 ， 包 括 了 组 定义 及 冒号 加 端口 号 功能 的 使 用 。 


ntp.magedu .com 
[webservers] 

wwwl .magedu .com:2222 
www2 .magedu .com 
[dbservers] 

dbl .magedu.com 

db2 .magedu.com 

db3 .magedu.com 


如 果 远程 主机 名 称 遵循 相似 的 命名 模式 ， 还 可 以 使 用 列表 的 方式 标识 各 主机 ， 如 下 案例 为 大 家 展示 该 写法 。 


[webservers] 
www[01:50] .magedu.com 
[databases] 

db- [a:f] .magedu.com 


本 次 架构 规划 了 前 端 Proxy、Web Servers 和 后 面 DB 一 套 完整 应 用 ， 以 方便 大 家 实际 人 参考， 拓扑 规划 请 参考 图 3-5。 图 中 共 定 义 了 Proxy、App、NoSQL 和 DB 这 4 个 组 。 组 配置 请 编 
辑 /etc/ansible/hosts 添 加 如 下 配置 : 


图 3-5 架构 拓扑 规划 


[proxy] 
192.158.37:159 
[app] 
192.168.37.130 
i192.168.37.160 
[nosql] 
192.168.37.142 
[db] 
192.168.37.142 


应 用 分 布 如 下 。 

roxy] 组 : Nginx; 

“ [app] 组 : Nginx+PHP+Django; 
“ [nosql] 组 : Redis; 


“ [db] 组 : Mariadb。 


如 图 3-5 所 示 的 架构 拓扑 是 简化 后 的 互联 网 Web 服 务 架 构 ， 用 户 请 求 通过 Proxy 转 发 至 后 端 WebServers 响 应 ， 通 过 NoSQL 服 务 缓冲 后 ， 最 终 将 请 求 传送 到 DB。 我 们 本 章 的 实战 内 容 就 是 通过 Ansible 来 
搭建 这 样 一 套 Web 服 务 架构 。 


3.3.2 Ad-Hoc 配 置 管理 : 配置 Proxy 与 Web Servers 实 践 


本 节 通 过 配置 Proxy&Web Servers 学 习 Ad-Hoc 的 组 管理 方式 ， 前 端 Proxy 只 用 到 Nginx 七 层 代理 功能 ， 将 请 求 转 发 至 后 端 Web Servers，Web Servers 同 时 部 署 Nginx、PHP 和 Django 应 用 ， 我 们 按 
Proxy、WebServers 依 次 顺序 部 署 应 用 。 


(1) Ad-Hoc 配 置 管理 Proxy ( 即 Nginx) 


安装 Nginx， 执 行 命令 : 


ansible proxy -m yum -a "name=nginx state=present" 


利用 Ansible 安 装 Nginx， 如 图 3-6 所 示 。 


root@|linuxlst ~|# ansible proxy -m yum -a name=nginx state=present 
192.168.37.159 | success >> { 
"changed”: true, 
.msg : 中 
A 
"rests™: Tf 
"Loaded plugins: fastestmirror, refresh-packagekit, security\nLoading 
base: Pe * epel: mirrors.yun-idc.com\n * extras: ftp.sjtu.ed 
ng up Install Process\nResolving Dependencies\n--> Running transaction check' 
el6 will be installed\n--> Processing Dependency: nginx-filesystem = 1.0.15-1 
x86_64\n--> Processing Dependency: nginx-filesystem for package: nginx-1.0.19 
cy: GeoIP for package: nginx-1.0.15-12.el6.x86_64\n--> Processing Dependency 
inx-1.0.15-12.el6.x86_64\n--> Running transaction check\n---> Package GeoIP. 
--> Processing Dependency: geoipupdate for package: GeoIP-1.6.5-1.el6.x86_64\" 
for package: GeoIP-1.6.5-1.e16.X86_64\n---> Package nginx-filesystem.noarch ( 
unning transaction check\n---> Package GeoIP-GeoLite-data.noarch 0:2015.12-1. 
ependency: GeoIP-GeoLite-data-extra = 2015.12-1.el6 for package: GeoIP-GeoL i 
ge geoipupdate.x86_64 0:2.2.1-2.el6 will be installed\n--> Running transactid 
a-extra.noarch 0:2015.12-1.el6 will be installed\n--> Finished Dependency Redq 


x86_64 1.0.15-12.e16 404 kNn alling fa 

x86_64 1.6.5-1.e16 113 k\n GeoIP-GeoLite-dan 

epel 363 kNn GeoIP-GeoLite-data-extra noar ch 2015.12-1. 
x86_64 2.2.1-2.e16 epel 


1.4 MB/S 24 MB \nRuNnning rpm_check_ 
tion Test Succeeded\nRunning Transaction\m\r Installing : GeoIP-GeoLite-dat 
1/6 \m\r Installing : GeoIP-GeoLite-data-2015.12-1.e16. noarch 
update-2.2.1-2.e16.X86_64 3/6 \Nn\r Installin 
4/6 \m\r Installing : nginx-filesystem-1.0.15-12.e 
Installing : nginx-1.0.15-12.el6.x86_64 
reated as /etc/nginx/fastcgi.conf.rpmnew\ nwarning: /etc/nginx/fastcgi.conf.d 
f.default.rpmnew\nwarning: /etc/nginx/fastcgi params created as /etc/nginx/fed 
x/fastcgi_params.default created as'y/etre/nginx/fastcgi params.default. Ppmnew 
as /etc/nginx/mime.types.rpmnew\nwarming: /etc/nginx/mime.types. default Crea 
mnew\nwarning: /etc/nginx/nginx. confflerearted as /etc/nginx/nginx. conf .rpmnew 
created as /etc/nginx/nginx. conf. default.rpmnew\nwarning: /etc/nginx/scgi_pe 
rpmnew\nwarning: /etc/nginx/scgi_params.default created as /etc/nginx/scgi_pea 
xX/uwsgqi_params created as /etc/nginx/uwsgi params.rpmnew\nwarning: /etc/ngin 


图 3-6 ”Ansible 安 装 Nginx 


部 分 执行 结果 诠释 : 

"changed": true, // 表示 本 次 命令 对 执行 的 目标 有 变更 ， 如 再 执行 一 次 则 为 false， 表 示 执 行 的 目标 没 
// 有 变更 ， 这 里 的 false 和 true 不 代表 该 命令 执行 成 功 或 失败 ， 只 是 表示 执行 目 
// 标 是 否 被 变更 

wpa DO // resultcode 的 简写 ,表示 命令 的 执行 结果 状态 返回 ， 非 0 均 为 异常 ,命令 执行 失败 

"results": [ // 执行 结果 信息 返回 


如 果 我 们 要 检查 Nginx 正 常安 装 ， 可 以 执行 命令 : ansible proxy-m command-a"nginx-v"， 如 果 正 常 则 返回 如 下 内 容 : 


192.168.37.159 | success | rc=0 >> 
nginx version: nginx/1.0.15 


Ansible 的 YUM 模 块 同样 支持 指定 某 版 本 安装 ， 其 name 参 数 指定 具体 版 本 地 址 (网 络 或 本 地 均 可 ) 。YUM 模 块 也 支持 从 网 络 安装 或 从 本 地 安装 。 


如 果 从 网 络 安装 ， 执 行 命令 : 


ansible proxy -m yum -a "name=http://nginx.org/packages/centos/6/noarch/RPMS/nginx-release-centos-6-0.e16.ngx.noarch.rpm state=present" 


如 果 从 本 地 安装 ， 执 行 命令 : 


ansible proxy -m yum -a "name=/usr/local/src/nginx-release-centos-6-0.el6.ngx.noarch.rpm state=present" 


如 指定 网 络 安装 ， 安 装 期 间 请 保障 网 络 畅通 ， 并 可 以 访问 Internet， 具 体 安装 时 长 视 网 络 宽带 质量 而 定 ， 如 100M 带 宽 ， 该 项 安装 进行 了 约 2min。 如 图 3-6 为 Nginx 安 装 的 部 分 结果 反馈 ，Ansible 在 对 
执行 结果 返回 提示 做 得 确实 不 尽 人 意 ， 虽 为 JJON 格 式 输出 ， 但 换行 和 颜色 标识 功能 仍 有 待 改 善 。 


(2) Ad-Hoc 配 置 管理 Web Servers 


Web Servers 需 同时 部 署 Nginx、PHP 和 Django， 其 中 Nginx、PHP 依 然 通 过 YUM 模 块 实现 ，Django 推 荐 使 用 PIP 或 easy_install 方 式 。 


1) Nginx、PHP 安 装 命令 如 下 : 


ansible app -m yum -a "name=nginx state=present" 
ansible app -m yum -a "name=php state=present" 


2) Django 安 装 命令 如 下 : 


步骤 1: 安装 MySQL-python 和 python-setuptools 依 赖 包 。 


ansible app -m yum -a "name=MySQL-python state=present" 
ansible app -m yum -a "name=python-setuptools state=present" 


步骤 2: 安装 Django。 


ansible app -m pip -a "name=django state=present" 


步骤 3: 检查 Django 安 装 是 否 正常 ， 执 行 命令 如 下 : 


mm 


ansible app -m command -a "Python -c "import django; Print django.get version() 


其 中 Django 依 赖 Python2.7+ 版 本 ， 如 执行 报错 如 下 ， 请 检查 Python 版 本 。 


Traceback (most recent call last): 

File “<string>", line 1, in <module> 

File "/usr/lib/python2.6/site-packages/django/_ init .py", line 1, in <module> 
fromdjango.utils.version import get version 司 

File "/usr/lib/python2.6/site-packages/django/utils/version.py", line 7, in <module> 
fromdjango.utils.lru cache import lru cache 

File "/usr/lib/python2.6/site-packages/django/utils/lru cache.py", line 28 
fasttypes = {int, str, frozenset, type (None)}, 


SyntaxError: invalid syntax 


Os 


PIP 和 easy_install 模 块 支持 virtualenv 虚 拟 多 环境 配置 ， 该 功能 极为 强大 ， 是 Python 应 用 者 的 必 备 利器 。 如 上 我 们 使 用 PIP 模 块 安装 Django， 众 所 周知 easy_install 也 是 Python 安 装 软 件 包 常用 的 工具 之 


一 ，Ansible 同 样 支持 easy_install， 命 令 类 同 #ansible app-m easy_install-arname=django" 即 可 。 两 者 相 比 较 而 言 ，PIP 的 功能 较 easy_install 更 为 强大 ， 且 支持 卸载 、 指 定 版 本 号 等 。 经 过 笔者 亲 测 ， 建 议 使 用 PIP 模 块 
安装 Python 系列 软件 包 ， 除 功能 强大 外 ， 我 们 发 现 PIP 模 块 的 稳定 性 和 速度 也 远 胜 easy_install 模 块 (CentOS6.5Final) 。 


截至 目前 ，Proxy&Web Servers 部 署 完 毕 ， 通 过 数 条 语句 即 可 完成 。 本 示例 中 的 服务 器 只 有 4 人 台 ， 如 果 是 40、400、4000 台 ， 其 带 来 的 便利 和 节省 的 时 间 成 本 是 不 可 估量 的 ， 更 为 重要 的 是 ， 这 在 很 大 
程度 上 ， 可 以 保障 操作 的 正确 性 。 


其 实 上 面 的 这 些 变更 通过 Ansible-playbook 进 行 是 更 好 的 选择 ， 在 后 面 playbook 章 节 的 讲解 与 应 用 过 程 中 大 家 会 逐步 有 所 体会 。 当 然 通 过 shell 单 独 登录 到 对 应 的 服务 器 也 能 实现 我 们 想 要 完成 的 工 
作 ， 但 Ansible 为 我 们 节省 了 海量 的 时 间 成 本 ， 这 也 是 我 们 学 习 Ansible 的 意义 所 在 。 


3.3.3 Ad-Hoc 配 置 后 端 : 配置 NoSQL 与 Database Servers 实 践 


3.3.2 节 我 们 使 用 Ansible 配 置 了 Proxy 和 Web Servers， 接 下 来 我 们 使 用 类 似 的 方法 配置 NoSQL 和 DB 服务 。 我 们 使 用 Redis 配 置 NoSQL， 我 们 使 用 MariaDB 配 置 DB， 之 所 以 没有 使 用 MySQL 是 因为 自从 
MySQL 被 甲骨 文公 司 收购 后 ， 昌 埃 里 森 宣称 MySQL 依 然 免费 ， 但 随 着 时 间 的 推移 ，MySQL 原 班 核心 人 马 相 继 离开 甲骨 文 ， 并 创立 MariaDB 及 MySQL 社 区 ， 开 发 者 对 现 有 Oracle 举 动感 到 不 满 ， 行 业内 不 
少 企业 已 在 考虑 使 用 MariaDB， 或 计划 替换 现 有 MySQL。 


具体 操作 步骤 如 下 。 

Redis 安 装 命令 : ansible db-m yum-a"name=redis state=present"。 
Redis 安 装 检查 : ansible db-m command-a"redis-cli--version "。 
MariaDB 安 装 步 又 如 下 。 


步骤 1: 添加 yum 源 ，vim 编 辑 /etc/yum.repos.d/mariadb.repo 添 加 内 容 如 下 。 


# MariaDB 10.1 CentOS repository list - created 2016-02-13 04:31 UTC 
# http://mariadb.org/mariadb/repositories/ 

[mariadb] 

name = MariaDB 

baseurl = http://yum.mariadb.org/10.1/centos6-x86 

gpgkey=https:// yum.mariadb.org/RPM-GPG-KEY-MariaDB 

gpgcheck=1 


步骤 2: 安装 MariaDB-server， 


ansible db -m yum -a "name=MariaDB-server state=present" 


步骤 3: 安装 MariaDB-client, 


ansible db -m yum -a "name=MariaDB-client state=present" 


步骤 4: 开启 防火 墙 3306 访 问 权限 。 


ansible db -m conmand -a "iptables -A INPUT -s 192.168.37.0/24 -p tcp -m tcp --dport 3306 -j ACCEPT" 


截至 目前 ， 如 图 3-5 所 示 的 应 用 成 功 部 署 完毕 。 其 实 我 们 搭建 一 套 主流 Web 应 用 框架 ， 期 间 无 需 登录 远程 主机 ， 通 过 Ansible 的 结果 返回 即 可 判断 所 有 操作 是 否 正确 。 


3.3.4 Ad-Hoc 特 定 主机 变更 


前 两 节 我 们 通过 搭建 了 一 套 主流 Web 应 上 


Ansible 有 多 种 方式 实现 针对 特定 主机 做 变更 。 


1) --limit: 通过 --limit 参 数 限定 主机 做 变更 


情景 : 


在 App 组 中 启动 192.168.37.15 的 NTP 服 务 。 


公公 
请 


命令 用 法 : 


用 框架 熟悉 了 Ansible 的 组 管理 ， 接 下 来 为 大 家 介绍 如 何 针对 特定 服务 器 做 变更 ， 该 情景 在 


日 常 运 维 工 作 中 很 常见 


ansible app -m command -a "service ntpd status" --limit "192.168.37.158" 


2) 指定 IP: 通过 指定 具体 |P 限 定 主机 做 变更 。 


情景 : 启动 192.168.37.158 的 NTP 服 务 。 


执行 


命令 : 


ansible 192.168.37.158 -m command -a "service ntpd status" 


3) ” 作 分 隔 符 ， 指 定 多 台 机 器 做 变更 。 
情景 : 启动 192.168.37.158 和 192.168.37.161 的 NTP 服 务 。 
执行 命令 : 


ansible "192.168.37.158:192.168.37.161" -m command -a "service ntpd status" 


4) 通过 “*” 泛 匹配 ， 更 灵活 地 针对 多 台 主 机 做 变更 。 
情景 : 启动 192.168.37.* 所 有 主机 的 NTP 服 务 。 
执行 命令 


ansible 192.168.37.* -m command -a "service ntpd status" 


Os 


--limit 在 日 常 工作 中 经 常用 到 ，Ansible-playbook 也 支持 该 参数 。 


到 目前 为 止 Ad-Hoc 组 管理 及 特定 主机 变更 我 们 已 经 掌握 ， 


3.4 Ad-Hoc 用 户 与 组 管理 


这 对 灵活 管理 海量 服务 器 有 很 大 帮助 ， 关 于 组 及 指定 


”分 隔 指定 多 主机 也 是 不 错 的 办 法 ， 但 记得 要 用 引号 将 所 有 地 址 引起 来 。 


主机 管理 介绍 到 此 结束 。 接 下 来 为 大 家 介绍 的 是 Ad-Hoc 基 于 用 户 的 管理 。 


户 权限 管理 是 运 维 日 常 最 重要 的 管理 工作 之 一 ， 如 生产 环境 禁 
是 每 个 公司 都 能 做 到 的 ， 但 未 来 是 趋势 ) 。 所 以 掌握 Ad-Hoc 用 户 与 组 管理 很 有 用 ， 如 


开发 和 测试 人 员 登 录 变更 ， 但 测试 环境 的 


户 权限 仍 需 耗费 精力 维护 ， 这 项 工作 大 公司 也 存在 (将 测试 环境 交 给 测试 或 开发 管理 并 不 
笔者 现在 的 公司 每 次 大 版 本 更 新 后 都 会 大 量 修改 所 有 服务 器 密码 。 每 次 需要 修改 数 十 台 服务 器 环境 密码 ， 若 手动 单 台 登 


录 修 改 可 是 一 项 不 小 的 工作 ， 并 且 手 动 方式 难免 会 出 错误 。 本 节 为 大 家 介绍 Ad-Hocf 


Ansible 系 统 用 户 模块 有 如 下 两 个 : 
Linux 系统 用 户 管理 : user。 


Windows 系 统 用 户 管理 : win_uset。 


户 与 组 管理 。 


注释 
es: 增 量 添加 group 
no: 全 量变 更 group， 只 设置 groups 指定 的 group 组 
可 选 设置 用 户 账 户 的 描述 (又 名 GECOS ) 
默认 yes， 当 创建 用 户 期 时 或 家 目录 不 存在 时 为 用 户 创 
建 HOME 目录 


1.9 版 本 的 新 增 功能 ， 用 户 过 期 时 间 ， 不 支持 的 平台 该 


3.4.1 Linux 用 户 管理 
User 模 块 功能 诸多 ， 各 功能 作用 几乎 完全 覆盖 平时 工作 常规 及 非常 规 场景 。 模 块 所 有 属性 如 表 3-2 所 示 。 
表 3-2 uset 模 块 属性 
参数 
yes 
append no no 
expires ( 1.9 版 本 无 
增加 ) 参 


数 将 被 忽略 ， 现 在 支持 Linux 和 FreeBSD 


( 续 ) 


注 释 
强制 ， 当 和 state=absent 结合 使 用 时 ， 效 果 等 同 于 userdel 


--force 


好 
呈 
谨 
昌 


认 


-| 
ov 
a 


force no 


是 否 生 成 SSH key， 不 会 覆盖 已 有 的 SSH key 
(可 选 ) 设置 用 户 属 组 


generate_ssh key 


group 

ee 设置 用 户 附 加 群 组 ， 使 用 去 号 分 隔 多 个 群 组 ， 如 果 参 数 为 
SE 室 〔( 即 'groups=")， 则 删除 用 户 所 有 附加 组 ( 属 组 不 受 影响 ) 
home (可 选 ) 设置 用 户 家 日 录 


. (可 选 ) 设置 FreeBSD、OpenBSD、NetBSD 系统 的 用 户 
login class 


8 ‘&|3 
号 


登录 class 
ee yes 如 设置 为 yes， 结 合 使 用 home=， 临 时 迁移 用 户 家 目录 
no 到 特定 日 录 
name yes Ll 用 户 名 


es 


(可 选 ) 和 -u 结合 使 用 ， 人 允许 改 变 用 户 ID 为 非 唯一 值 


(可 选 ) 设置 用 户 密 码 为 该 项 指定 的 密码 (加 密 后 的 密 
码 )， 详 细 请 参考 http://docs.ansible.com/ansible/faq.html# 


non _ unique 


一 


粮 
时 


password how-do-i-generate-crypted-passwords-for-the-user-module 
需要 注意 的 是 ， 在 Darwin 系统 ， 该 选项 必须 是 明文 ， 
请 注意 安全 问题 
remove 和 结合 state=absent 使 用 相当 于 userdel --remove 
no 
SeUSeT 
(可 选 ) 设置 seuser 类 型 启用 SELinux 
(2.1 版 本 增加 ) 国王 
shell | | (可 选 ) 设置 用 户 shell 
(可 选 ) 设置 用 户 的 skel 目录 ， 需 和 createhome 参数 结 
skeleton 合 使 用 
问 


ssh key bis | no |2048 | ”| (可 选 ) 指定 生成 的 SSH key 加 密 位 数 


ansible-generated EN ee 
ssh_ key comment oe ese (可 选 ) 定义 SSH key 注释 
隐语 (可 选 ) 指定 SSH key 文件 名 ， 如 果 该 文件 名 是 相对 路 
i 径 ， 则 默认 路 径 为 用 户 家 目录 


ssh key passphrase | no | | | 设置 SSH key 密码 ， 如 果 没 有 提供 密码 ， 则 默认 没有 加 密 


ee ED (可 选 ) 指定 SSH key 类 型 ， 具 体 可 用 的 SSH key 类 型 取 
— 一 决 于 目标 主机 
present Present: 新 建 (使 存在 ) 用 户 
人 二 当 创建 新 账户 时 、 该 选项 为 yes， 为 用 户 设置 系统 账户 ， 
no 该 设置 对 已 经 存在 的 用 户 无 效 
jm | | 


state 


uid | ”| (可 选 ) 设置 用 户 UID 


update_password i always always: 只 有 当 密 码 不 相同 时 才 会 更 新 密码 
了 on_create | ”on_create: 只 为 新 用 户 设置 密码 


(1.3 版 本 增加 ) 
日 常 工作 所 需 功能 几乎 均 圳 括 在 内 ， 接 下 来 为 大 家 介绍 用 户 相关 的 五 大 场景 应 用 ， 以 供 参考 。 


场景 1: 新 增 用 户 。 


需求 描述 : 新 增 用 户 dba， 使 用 BASH Shell， 附 加 组 为 admins，dbagroup， 家 目录 为 /home/dbay/。 


该 场景 中 我 们 可 以 掌握 如 下 技能 点 。 


1) groups 设 定 : groups= 用 户 组 1， 用 户 组 2.… 


2) 增 量 添加 属 组 : append=yes 


3) 表明 属 组 状态 为 新 建 : state=present 


执行 命令 : 


ansible db -m user -a "name=dba shell=/bin/bash groups=admins, dbagroup append=yes home=/home/dba/ state=present" 


返回 结果 如 下 : 

192.168.37.142 | success >> { 
"changed": true, 
"comment": "", 
"createhome": true, 
"group”s 5037 


"groups": "admins,dbagroup", 
"home": "/home/dba/", 
mnamen: "dba", 


"shell": "/bin/bash", 
"state": "present", 
"system"; false, 
"id"s S50 


返回 结果 信息 非常 简洁 明了 ， 这 里 不 再 一 一 做 解释 


场景 2: 修改 用 户 属 组 。 


需求 描述 : 修改 DBA 附 加 组 为 dbagroups( 即 删除 admins 组 权限 ) 。 


该 场景 中 我 们 可 以 掌握 如 下 技能 点 。 


全 


即 
闭 
| 


属 组 信息 : append=no 


执行 命令 : 


ansible db -m user -a "name=dba groups=dbagroup append=no" 


返回 结果 如 下 : 


ER 


ND 


.168.37.142 | success >> { 
"append": false, 
"changed": true, 
mcommentn: mn, 

"group": 503, 

"groups": "dbagroup", 
"home": "/home/dba/", 
"move home": false, 
name™: "dba", 


"shell": "/bin/bash", 
nstate": "present", 
"oid"s S50 


Oi 


删除 admins 组 权限 的 命令 中 append 值 为 0。 另外， 细心 的 朋友 会 发 现 ， 新 增 用 户 时 ，Ansible 默 认为 用 户 添加 用 户 组 (primary group) 。 


场景 3: 修改 用 户 属性 。 


需求 描述 : 设置 dba 用 户 的 过 期 时 间 为 2016/6/118: 00: 00 (UNIXTIME: 1464775200) 。 


该 场景 中 我 们 可 以 掌握 如 下 技能 点 。 


1) 设置 用 户 登录 过 期 时 间 : expire=1464775200 


2) UNIX 时 间 转 换 : 2016/6/118: 00: 00 需 转换 为 UNIXTIME 格 式 (不 做 介绍 ， 请 自行 百度 ) 


执行 命令 : 


ansible db -m user -a "name=dba expires=1464775200" 


这 样 ， 我 们 已 经 完成 了 DBA 用 户 的 过 期 时 间 设 置 。 


场景 4: 删除 用 户 。 


需求 描述 : 删除 用 户 DBA， 并 删除 其 家 目录 和 邮件 列表 。 


该 场景 中 我 们 可 以 掌握 如 下 技能 点 : 


1) 表明 属 组 状态 为 删除 : state=absent 


2) 设 定 remove=yes: remove=yes 


ansible db -m user -a "name=dba state=absent remove=yes" 


结果 检查 : 到 对 应 主机 使 用 ROOT 用 户 查 看 /etc/passwd 是 否 存 在 dba 用 户 ， 或 执行 命令 jid dba 确 认 是 否 有 结果 返回 。 


场景 5: 变更 用 户 密码 。 


需求 描述 : 设置 系统 用 户 tom 的 密码 为 redhat123。 


执行 命令 : 


ansible db -m user -a "name=tom shell=/bin/bash Password=to46PN3GOukvRA update password=always" 


请 注意 ，password 后 的 字符 串 to46pW3GOukvA 并 非 真正 的 密码 ， 而 是 经 过 加 密 后 的 密码 。Ansible 变 更 用 户 密码 方式 与 直接 通过 系统 命令 passwd 修 改 密码 有 较 大 差别 。Ansible 变 更 密码 时 所 使 用 的 
密码 是 将 明文 密码 加 密 后 的 密码 (有 些 描 口 ) 。 官 网 上 介绍 了 两 种 密码 加 密 方式 ， 笔 者 建议 使 用 方式 2passlib， 因 为 mkpasswd 方 式 因 系 统 而 异 ， 功 能 差异 较 大 。 


方式 1: 使 用 命令 mkpasswd 生 成 密码 。 


步骤 1: 查找 安装 包 名 称 。 


执行 命令 : yum whatprovides*/mkpasswd， 结 果 如 下 。 


epel/filelists db | 8.0 MB 
expect-5.44.1.15-5.e16 4.x86 64 : A program-script interaction and testing Utility 
Repo : base i 下 

Matched from: 

Filename : /usr/bin/mkpasswd 


步骤 2: 安装 软件 包 。 
centos6.5 执 行 命令 : yum install expect 


Debian6Ubuntu12.04 执 行 命令 : sudo apt-get install whois 


步骤 3: 使 用 mkpasswd 生 成 密码 。 

执行 命令 : mkpasswd--method=SHA-512 

Os 

笔者 也 对 安装 的 软件 包 (centos 安 装 expect，debian&ubuntu 安 装 whois) 感觉 诺 异 ， 一 番 Google 查 询 也 没有 结果 。 因 为 这 与 本 书 内 容 关 系 不 大 所 以 没有 深究 ， 感 兴趣 的 朋友 自行 研究 后 可 告知 笔者 ， 以 便 后 


续 补充 给 用 户 。 


方式 2: 使 用 Python 的 passlib、getpass 库 生成 密码 。 


步骤 1: 安装 passlib (Python 版 本 建议 2.7 以 上 ) 。 


执行 命令 : 


pip install passlib 


步骤 2: 生成 密码 。 


Python3.X 系 列 版 本 请 使 用 如 下 命令 (sha512 加 密 算法 ) 。 


Python -c "from passlib.hash ;import sha512 crypt; import getpass; print (sha512 crypt.encrypt (getpass.getpass()))" 


Python3.X 系 列 版 本 请 使 用 如 下 命令 (普通 加 密 算法 ) 。 


Python -c 'import crypt; print (crypt.crypt ("redhat123", "dba"))' 


Python2.X 系 列 版 本 请 使 用 如 下 命令 (sha512 加 密 算法 ) 。 


Python -c "from passlib.hash :import sha512 crypt; import getpass; print sha512 crypt.encrypt (getpass.getpass () ) " 


Python2.X 系 列 版 本 请 使 用 如 下 命令 (普通 加 密 算法 ) 。 


Python -c 'import crypt; Print (crypt.crypt ("redhat123", "dba"))' 


生成 的 密码 如 图 3-7 所 示 。 


[root@linuxlst ~]# python -c "from passlib.hash import sha512 crypt; import getpass; p 
rint (shaS5l2 crypt.encrypt(getpass.getpass()))" 


Password: 
$6s$rounds=656000s$SNLhJPMjIGdLbLj3C$TjXOFL/QPvpTuDJPNQKLIEaaBhinlNpYEd0/aSYfOodWYYByrhHQ 


iLKD1tSVP6BTOf9FrLGGzBMMS5qN3 .Hsdw. 


图 3-7 生成 的 密码 


Oi 
1) 同样 密码 多 次 加 密 结果 不 一 样 属 正 常情 况 ， 想 深入 了 解 的 朋友 可 自行 研究 加 密 算法 及 原理 。 


2) Ad-Hoc 方 式 建议 使 用 普通 算法 加 密 ，sha512 加 密 后 的 密码 包括 诸多 特殊 元 字符 ， 传 输 至 远程 服务 器 会 有 密码 被 转 义 截断 的 问题 。sha512 加 密 算法 建议 在 playbook 中 使 用 。 


Linux 系 统 下 的 用 户 与 组 管理 涉及 的 各 类 场景 本 节 均 有 介绍 ， 作 为 运 维 日 常 最 重要 的 工作 之 一 ， 希 望 本 节 内 容 对 相关 人 员 会 有 帮助 。 


3.4.2 ”Windows 用 户 管理 


如 第 1 章 所 介绍 ， 作 为 关注 度 最 高 的 集中 化 管理 工具 ，Ansible 同 样 支持 Windows 系 统 。 但 考虑 Windows 不 开源 的 特殊 性 及 服务 器 市 场 的 占有 率 ， 使 得 Ansible 与 Windows 的 结合 


场景 : 新 增 


户 stanley， 密 码 为 magedu@123， 属 组 为 Administrators。 


但 其 实 类 似 问 题 其 他 工具 也 同样 存在 ， 这 是 Windows 特 性 使 然 。 本 章 我 们 只 做 简单 演示 ， 第 10 章 我 们 还 介绍 Windows 相 关内 容 。 


时 总 是 会 出 问题 ， 


ansible windows -m win user -a "name=stanley passwd=magedu@123 group=Administrators 


192.168.37.146 | success >> { 
"account disabled": false, 
"account locked": false, 
"changed": true, 
"description": "", 
"fullname": "stanley", 
"groups": [ 

{ 


"Administrators" 


npameny 
"WinNT:// WORKGROUP/LINUXLST/Administrators" 


"path": 
i 
], 
"name": "stanley", 
"password expired": true, 
"password never expires": false, 
"path": "WinNT:7/ WORKGROUP/LINUXLST/stanley", 
"sid": "S-1-5-21-3965499365-1200628009-3594530176-1004", 
"state": "present", 
"user _ cannot change password": false 


部 分 返回 结果 诠释 : 


* account_disabled 禁用 用 户 登 录 ; 


解锁 用 户 ; 


* account_locked: 


* groups 用 户 所 属 组 ; 


* name 


用 户 名 ; 


下 次 登录 修改 密码 ; 


* password_expired- 


用 户 是 否 可 修改 密码 。 


“ user_cannot_change_password 


户 管理 也 是 基于 Linux 管 理 方式 的 沿 


， 旨 在 简单 易 用 。 


仅 从 操作 上 即 可 看 出 ，Ansible 对 Windows 的 


3.4.3 ”应 用 层 用 户 管理 


前 面 两 小 节 为 大 家 介绍 了 Ansible 基 于 Linux 和 Windows 的 系统 管理 。 事 实 上 ， 除 开源 系统 类 UNIX 系 统 和 大 家 耳 
IAM，MAC 的 OSX; 软件 如 Apache CloudStack、Jabberd、OpenStack、MongoDB、MySQL、PostgreSQL、RabbitMQ、Vertica。 本 节 我 们 以 MySQL 用 户 管理 为 例 介绍 。 


情景 : 新 增 MySQL 


户 stanley， 设 置 登录 密码 为 nagedu@bj， 对 zabbix.* 表 有 ALL 权 限 。 


执行 命令 : 


[ 熟 能 详 的 Windows 系 统 以 外 ，Ansible 也 支持 商业 系统 或 产品 类 应 F 


ansible db -m mysql user -a 'login host=localhost login password=magedu login user=root name=stanley password=mageduQ@bj priv=zabbix.*:ALL state=present' 


， 系 统 如 AWS 的 


192.168.37.142 | success >> { 
"changed": true, 


"user": "stanley" 
} 
登录 验证 步骤 如 下 。 


1) 在 db 服务 器 上 测试 登录 。 
mysql-ustanley-pmagedu@bj 


2) 执行 命令 : show grants for'stanley'@'localhost'; 验证 权限 是 否 正确 。 


其 实 如 上 命令 存在 很 大 的 安全 隐患 ， 因 为 MySQL 的 登录 信息 完全 暴露 在 命令 台 。Ansible 建 议 的 使 用 方式 如 下 。 
1) 在 远程 主机 的 ~/.my.cnf 文 件 中 配置 root 的 登录 信息 ， 配 置信 息 如 下 : 
[client] 
user=root 
password=magedu 
2) 命令 行 执行 命令 如 下 : 


ansible db -m mysql user -a 'name=stanley password=magedu@bj priv=zabbix.*:ALL state=present' 


此 方式 密码 将 不 再 暴露 在 控制 台 ， 在 一 定 程度 上 提高 了 服务 安全 性 。 


3.5 “本章 小 结 


Ansible Ad-Hoc 在 运 维 日 常 工作 中 的 作用 举足轻重 ， 日 常 工作 中 的 临时 并 发 性 操作 均 通 过 Ad-Hoc 协 助 完 成 ， 因 此 我 们 花 了 很 多 篇 幅 为 大 家 介绍 其 使 用 及 企业 实践 。 同 样 重要 的 还 有 Ansible 的 
Playbook 功 能 ，Ansible-playbook 可 帮助 我 们 完成 更 多 、 更 复杂 、 更 重要 的 功能 。 我 们 将 在 第 4 章 、 第 5 章 、 第 6 章 深 入 学 习 Ansible-playbook 的 强大 功能 。 


第 4 章 “Playbook 快 速 入 门 


Ansible 使 用 YAML 语 法 描述 配置 文件 ，YAML 语 法 以 简洁 明了 、 结 构 清晰 著称 。 


Ansible 的 任务 配置 文件 被 称 为 Playbook， 我 们 可 以 称 之 为 “剧本 ”。 每 一 个 剧本 (Playbook) 中 都 包含 一 系列 的 任务 ， 这 每 个 任务 在 Ansible 中 又 被 称 为 “戏剧 ” (play) 。 
中 包含 多 出 戏剧 (play) ， 这 很 容易 理解 。 


为 了 便于 理解 ， 再 给 大 家 举 个 现实 中 的 例子 。 


NBA 球 队 教 练 手 里 都 有 一 个 叫 战术 板 的 东西 ， 见 


[ 


一 个 跑 位 和 掩护 动作 就 可 以 被 称 为 “play”。 


在 Ansible 中 ， 我 们 就 充当 编剧 的 角色 ， 亲 自 编写 剧本 (一 系列 的 服务 器 操作 ) ， 让 一 册 


4.1 ”Playbook 语 法 简介 


如 本 章 一 开始 所 讲 ，Playbook 采 


YAML 语 法 编写 ，YAML 不 是 一 种 标记 语言 。 


的 YAML 语 法 点 ， 我 们 对 YAML 语 法 简洁 地 总 结 如 下 。 


4.1.1 多 行 缩 进 


4-1。 每 次 暂停 时 ， 主 教练 都 会 在 战术 板 上 布置 一 系列 战术 (Playbook) 


距 霖 断 传 给 PG 投 
采 断 打 


图 4-1 篮球 战术 板 


精彩 的 戏剧 (play) 巧妙 配合 ， 完 成 对 服务 器 的 一 系列 精确 控制 。 


[23 
压 


该 语言 在 被 开发 时 ， 它 的 意思 其 实 是 : Yet Another Markup Language ( 仍 是 一 种 标记 语言 


， 球 员 在 场 上 做 出 一 系列 的 跑 动 和 相互 掩护 动作 来 完成 这 个 战术 ， 这 上 


结合 Ansibe 中 


一 个 剧本 (Playbook) 


到 


数据 结构 可 以 用 类 似 大 纲 的 缩 排 方式 呈现 ， 结 构 通过 缩 进 来 表示 ， 连 续 的 项 目 通过 减 号 “-” 来 表示 ，map 结 构 里 面 的 key/value 对 用 冒号 “: ”来 分 隔 。 格 式 如 以 下 代码 所 示 : 


children: 
=- Paul 
—- Mark 
- Simone 
address: 
number: 34 
street: Main Street 
city: Nowheretown 
Zipcode: 12345 


Bg 

1) 字 串 不 一 定 要 用 双 引 号 标识 ; 

2) 在 缩 排 中 空白 字符 的 数目 并 不 重要 ， 只 要 相同 阶层 的 元 素 左 侧 对 齐 就 可 以 了 (不 过 不 能 使 用 Tab 字 符 ) ; 

3) 允许 在 文件 中 加 入 选择 性 的 空 行 ， 以 增加 可 读 性 ; 

4) 选择 性 的 符号 “http://www.hzcourse.com/resource/readBook?path=/opentesources/teach_ebook/uncompressed/15935/OEBPS/Text/...” 可 以 用 来 表示 档案 结尾 (在 利用 串 流 的 通信 中 ， 这 非常 有 用 ， 可 


以 在 不 关闭 串 流 的 情况 下 ， 发 送 结束 信号 ) 。 


4.1.2 单行 缩写 


YAML 也 有 用 来 描述 好 几 行 相同 结构 的 数据 的 缩写 语法 ,数组 用 “[0” 包 括 起 来 ，hash 用 “{}” 来 包括 。 因 此 ， 上 面 的 这 个 YAML 能 够 缩写 成 这 样 : 


house: 
family: { name: Doe, parents: [John, Janel], children: [Paul, Mark, Simone] } 
address: { number: 34, street: Main Street, city: Nowheretown, zipcode: 12345 } 


了 解 了 普通 的 YAML 格 式 文件 ， 我 们 来 看 一 下 正式 的 Playbook 内 容 是 什么 样 的 。Playbook 代 码 如 下 : 


# 这 个 是 你 选择 的 主机 
— hosts: webservers 
# 这 个 是 变量 
Vars: 
http port: 80 
max clients: 200 
# 远 绚 的 执行 权限 
remote user: root 
tasks: 
# 利 用 Yum 模 块 来 操作 
=- name: ensure apache is at the latest Version 
yum: pkg=httpd state=latest 
- name: write the apache config file 
template: src=/srv/httpd.j2 dest=/etc/httpd.conf 
# 触 发 重启 服务 器 
notify:restart apache 
- name: ensure apache is running 
service: name=httpd state=started 
# 这 里 的 restart apache 和 上 面 的 触发 是 配对 的 。 这 就 是 handlers 的 作用 。 相 当 于 tag 
handlers: 
- name: restart apache 
service: name=httpd state=restarted 


总 的 来 说 ，Playbook 语 法 具有 如 下 一 些 特性 。 


1) 需要 以 “---” (3 个 减 号 ) 开始 ， 且 需 顶 行 首 写 。 


2 


次 行 开始 正常 写 Playbook 的 内 容 ， 但 笔者 建议 写 明 该 Playbook 的 功能 。 


3) 使 用 # 号 注释 代码 。 


4 


i 


缩 进 必须 是 统一 的 ， 不 能 将 空格 和 Tab 混 用 。 


5) 缩 进 的 级 别 必须 是 一 致 的 ， 同 样 的 缩 进 代表 同样 的 级 别 ， 程 序 判别 配置 的 级 别 是 通过 缩 进 结合 换行 来 实现 的 。 


6) YAML 文 件 内 容 和 Linux 系 统 大 小 写 判断 方式 保持 一 致 ， 是 区 别 大 小 写 的 ，k/v 的 值 均 需 大 小 写 敏感 。 
7) k/v 的 值 可 同行 写 也 可 换行 写 。 同 行使 用 “: ”分 隔 ， 换 行 写 需要 以 “-” 分 隔 。 
8) 一 个 完整 的 代码 块 功能 需 最 少 元 素 ， 需 包括 name: task。 


9) 一 个 name 只 能 包括 一 个 task。 


4.2 ”Playbook 案 例 分 析 


第 3 章 中 介绍 的 Ad-Hoc 点 对 点 、 一 次 执行 一 个 模块 的 操作 方式 已 经 使 得 Andsible 成 为 非常 强大 的 管理 工具 ， 但 Playbook 将 会 使 Ansible 的 功能 更 为 完善 、Playbook 可 以 固化 所 有 操作 ， 减 少 人 为 失误 ， 
满足 工程 量 较 大 的 工具 所 具备 的 复杂 度 、 可 扩展 度 等 要 求 ， 使 得 Ansible 成 为 超一流 的 管理 工 


Shell 脚 本 与 Playbook 的 转换 


现在 ， 越 来 越 多 的 DevOps 也 开始 将 目光 移 向 了 Ansible， 因 为 Ansible 可 以 轻松 地 将 Shell 脚 本 或 简单 的 Shell 命 令 转换 为 Ansible play。 


下 面 一 段 代码 是 一 个 安装 Apache 的 Shell 脚 本 ， 大 家 来 感受 一 下 。 


# !/bin/bash 

# 安装 Apache 

yum install --quiet -y httpd httpd-devel 

# 复制 配置 文件 

cp /path/to/config/httpd.conf /etc/httpd/conf/httpd.conf 
cp/path/to/httpd-vhosts.conf /etc/httpd/conf/httpd-vhosts.conf 
# 启动 Apache， 并 设置 开机 启动 

service httpd start 

chkconfig httpd on 


将 上 述 Shell 脚 本 转换 为 一 个 完整 的 Playbook 后 ， 内 容 如 以 下 代码 所 示 : 


~ hosts: all 
tasks: 
- name: "安装 Apache" 
command: yum install --quiet -y httpd httpd-devel 
一 name: "复制 配置 文件 " 
command: cp /tmp/httpd.conf /etc/httpd/conf/httpd.conf 
command: cp /tmp/httpd-vhosts.conf /etc/httpd/conf/httpd-vhosts.conf 
一 name: "启动 Apache， 并 设置 开机 启动 " 
command: service httpd start 
command: chkconfig httpd on 


将 以 上 内 容 放 在 一 个 名 为 playbook.yml 的 文件 中 ， 直 接 调 用 ansible-playbook 命 令 ， 即 可 运行 ， 运 行 结果 和 脚本 运行 结果 一 致 。 


# ansible-playbook ./playbook.yml 


也 就 是 说 ， 只 要 你 有 编写 Shell 脚 本 的 基本 能 力 ， 你 就 可 以 快速 学 会 利用 Playbook 来 发 挥 Ansible 的 强大 威力 。 


在 上 述 Playbook 中 ， 我 们 使 用 了 command 模 块 来 运行 了 标准 的 Shell 命 令 。 我 们 还 给 了 每 一 出 play 一 个 “name” ， 因 此 当 我 们 运行 Playbook 时 ， 每 一 个 play 都 会 有 非常 易 读 的 信息 输出 。 


上 面 的 Playbook 已 经 很 好 地 实现 了 与 Shell 脚 本 相同 的 功能 ， 但 是 Ansible 还 有 很 多 其 他 内 置 模块 ， 可 以 大 幅度 提升 处 理 复杂 配置 的 能 力 ， 如 代码 清单 4-1 所 示 。 


代码 清单 4-1 部署 Apache 服 务 


- hostss all 
sudo: yes 
tasks: 
- name: 安装 Apache 
yum: name={{ item }} state=present 
with items: 
二 httpd 
- httpd-devel 
- name: 复制 配置 文件 
copy: 
src: "{{ item.src }}" 
dest: "{{ item.dest }}" 
Owner: root 
group: root 
mode: 0644 
with items: 
src: "/tmp/httpd.conf™, 
dest: "/etc/httpd/conf/httpd.conf" } 
二 
src: "/tmp/httpd-vhosts .conf"， 
dest: "/etc/httpd/conf/httpd-vhosts.conf" 


} 
- name: 检查 Apache 运 行 状 态 ， 并 设置 开机 启动 
service: name=httpd state=started enabled=yes 


本 例 中 ， 我 们 使 用 了 Ansibe 的 yum 模 块 、copy 模 块 以 及 service 模 块 ， 来 完成 对 Apache 服 务 的 安装 、 配 置 和 运行 状态 维护 等 一 系列 操作 。 


现在 我 们 已 经 对 Playbook 有 了 一 个 大 概 的 了 解 ， 接 下 来 ， 让 我 们 详细 解剖 一 下 代码 清单 4-1 中 的 Playbook 都 做 了 什么 ， 以 及 它 是 怎么 工作 的 。 


第 1 行 ，“---”， 这 个 是 YAML 语 法 中 注释 的 用 法 ， 就 像 shell 脚 本 中 的 “# ”号 一 样 。 


第 2 行 ，“-hosts: all”， 告 诉 Ansible 具 体 要 在 哪些 主机 上 运行 我 的 剧本 (Playbook) ， 在 本 例 中 是 all， 即 所 有 主机 。 


第 3 行 ，“sudo: yes”， 告诉 Ansible 通 过 sudo 来 运行 相应 命令 ， 这 样 所 有 命令 将 会 以 root 身 份 执 行 。 
第 4 行 ，“tasks: ”， 指 定 一 系列 将 要 运行 的 任务 。 


每 一 个 任务 (play) 以 “-name: 安装 Apache” 开 头 。“-name: ”字段 并 不 是 一 个 模块 ， 不 会 执行 任务 实质 性 的 操作 ， 它 只 是 给 “task” 一 个 易于 识别 的 名 称 。 即 便 把 name 字 段 对 应 的 行 完全 删 
除 ， 也 不 会 有 任何 问题 。 


本 例 中 我 们 使 用 yum 模 块 来 安装 Apache， 蔡 代 了 “yum-y install httpdhttpd-devel”。 


在 每 一 个 play 当 中 ， 都 可 以 使 用 with_items 来 定义 变量 ， 并 通过 “{{ 变 量 名 } ”的 形式 来 直接 使 用 。 我 们 使 用 yum 模 块 的 state=present 选 项 来 确保 软件 被 安装 ， 或 者 使 用 state=absent 来 确保 软件 被 删 


第 二 个 任务 (play) 同样 是 “-name” 字 符 开 头 。 我 们 使 用 copy 模 块 来 将 “src” 定义 的 源 文 件 (必须 是 Ansible 所 在 服务 器 上 的 本 地 文件 ) 复制 到 “dest” 定 义 的 目的 地 址 (此 地 址 为 远程 主机 上 的 地 
址 ) 去 。 在 传递 文件 的 同时 ， 还 定义 了 文件 的 属 主 、 属 组 和 权限 。 在 这 个 play 中 ， 我 们 用 数组 的 形式 给 变量 赋值 ， 使 用 {var1: value，var2: value} 的 格式 来 赋值 ， 变 量 的 个 数 可 以 任意 多 ， 不 同 变 量 间 以 豆 
分 隔 ， 使 用 {fitem.var1} 的 形式 来 调用 变量 ， 本 例 中 为 {item.srcj}。 


第 三 个 任务 (play) 使 用 了 同样 的 结构 ， 调 用 了 service 模 块 ， 以 保证 服务 的 正常 开启 。 


4.3 ”Playbook 与 Shell 脚 本 差异 对 比 


当 我 们 把 Shell 脚 本 转换 为 Playbook 运 行 的 时 候 ，Ansible 会 留 下 清晰 的 执行 痕迹 ， 明 确 告诉 我 们 在 每 一 台 主 机 上 的 每 一 步 都 做 了 什么 。 


同时 ，Ansible 自 带 过 等 判断 机 制 也 为 运 维 省 去 不 少 伤 脑 费心 的 人 脑 逻 辑 判断 运算 。 当 我 们 重复 执行 一 个 Playbook 时 ， 当 Ansible 发 现 系统 的 现 有 状态 与 Playbook 所 定义 的 将 要 实现 的 状态 一 臻 
时 ，Ansile 将 自动 跳 过 该 操作 。 


我 们 再 次 执行 Playbook: temp.yml， 当 Ansible 发 现 Playbook 中 的 play 都 已 完成 时 ， 它 将 直接 返回 ok 状态 码 ， 速 度 非 常 之 快 。 如 果 是 Shell 脚 本 ， 肯 定 会 把 所 用 操作 再 做 一 遍 。 


在 正式 运行 Playbook 之 前 ， 可 以 使 用 --check 或 -C 选 项 来 检测 Playbook 都 会 改变 哪些 内 容 ， 显 示 的 结果 跟 真 正 执行 时 一 模 一 样 ， 但 不 会 真 的 对 被 管理 的 服务 器 产生 实际 影响 。 


4.4 Ansible-playbook 实 战 小 技巧 


本 节 将 介绍 一 些 实战 的 小 技巧 ， 帮 助 我 们 在 Playbook 之 外 对 Ansible-playbook 命 令 的 执行 范围 以 及 权限 进行 微调 。 


4.4.1 限定 执行 范围 


当 Playbook 指 定 的 一 批 主机 中 有 个 别 主机 需 进行 变更 时 ， 我 们 不 需要 去 修改 Playbook 文 件 本 身 ， 而 是 通过 一 些 选项 就 可 以 直接 限定 和 查看 Ansible 命 令 的 执行 范围 。 


1.--limit 


如 果 运 行 上 面 的 例子 ， 会 发 现 所 有 被 Ansible 管 理 的 主机 都 会 被 操作 。 


我 们 可 以 通过 修改 “-hosts: ”字段 来 指定 哪些 主机 将 会 应 用 Playbook 的 操作 。 


“ 指定 一 台 主 机 : www.magedu.com 
' 指定 多 台 主 机 : www.magedu.com，www.osstep.com 


“ 指定 一 组 主机 : dbserver 


当然 ， 也 可 以 直接 通过 ansible-playbook 命 令 来 指定 主机 : 


# ansible-playbook Playbook.yml --limit webservers 


这 样 一 来 (假设 你 的 inventory 文 件 中 包含 webserver 组 ) ， 即 便 Playbook 中 设 定 “hosts: all”， 但 也 仅 对 webserver 组 生效 。 


2.--list-hosts 


如 果 想 知道 在 执行 Playbook 时 ， 哪 些 主机 将 会 受 影 响 ， 则 使 用 --list-hosts 选 项 。 


# ansible-playbook Playbook.yml --list-hosts 


Playbook: Playbook.yml 
Play # 1 (all): host count=1 
webserver 


如 上 两 种 方式 针对 需 对 批量 操作 的 主机 列表 中 的 某 一 台 主 机 做 特定 修改 时 非常 有 用 。 该 技巧 极 大 地 增加 了 Ansible 的 使 用 灵活 度 。 


Os 


因为 用 于 测试 的 被 管理 主机 只 有 一 台 ， 所 以 count 结 果 为 1。 


4.4.2 ”用 户 与 权限 设置 


(1) --remote-user 


在 Playbook 中 ， 如 果 在 hosts 字 段 下 没有 定义 users 关 键 字 ， 那 么 Ansible 将 会 使 用 你 在 Inventory 文 件 中 定义 的 


SSH 连 接 远 程 主机 ， 在 远程 主机 中 运行 play 内 容 。 


我 们 也 可 以 直接 在 ansible-playbook 中 使 用 --remote-user 选 项 来 指定 用 户 。 


户 ， 如 果 Inventory 文 件 中 也 没 定义 用 户 ，Ansible 将 默认 使 用 当 


户 身份 来 通过 


# ansible-playbook Playbook.yml --remote-user=tom 


(2) --ask-sudo-pass 


在 某 些 情况 下 ， 我 们 需要 传递 sudo 密 码 到 远程 主机 ， 来 保证 sudo 命 令 的 正常 运行 。 这 时 ， 可 以 使 用 --ask-sudo-pass (-K) 选项 来 交互 式 的 输入 密码 。 


(3) --sudo 


比如 ， 当 前 用 户 Tom 想 以 Jerry 的 身份 运行 Playbook， 命 令 如 下 : 


使 用 --sudo 选 项 ， 可 以 强制 所 有 play 都 使 用 sudo 用 户 ， 同 时 使 用 --sudo-user 选 项 指定 sudo 可 以 执行 哪个 用 户 的 权限 ， 如 果 不 指定 ， 则 默认 以 root 身 份 运行 。 


$ansible-playbook playbook.yml --sudo --sudo-user=jerry --ask-sudo-pass 


执行 过 程 中 ， 会 要 求 用 户 输入 Jerry 的 密码 。 


4.4.3 Ansible-playbook: 其 他 选项 技巧 


Ansible-playbook 命 令 还 有 一 些 其 他 选项 。 


* --inventory=PATH (-iPATH) : 指定 inventory 文 件 ， 默 认 文件 是 /etc/ansible/hosts。 


“ --vetbose (-v) : 显示 详细 输出 ， 也 可 以 使 用 -vvvv 显 示 精 确 到 每 分 钟 的 输出 。 

“ -extra-vars=VARS (-e VARS) : 定义 在 Playbook 使 用 的 变量 ， 格 式 为 : "key=value，key=value"。 

“ --forks=NUM (-fNUM) : 指定 并 发 执行 的 任务 数 ， 默 认为 5， 根 据 服务 器 性 能 ， 调 大 这 个 值 可 提高 Ansible 执 行 效率 。 

“ --connection=TYPE (-c TYPE) : 指定 连接 远程 主机 的 方式 ， 默 认为 SSH， 设 为 local 时 ， 则 只 在 本 地 执行 Playbook ， 建 议 不 做 修改 。 
“ --check: 检测 模式 ，Playbook 中 定义 的 所 有 任务 将 在 每 台 远 程 主机 上 进行 检测 ， 但 并 不 直 正 执行 。 


以 上 这 些 参数 可 满足 大 部 分 的 工作 需求 。 


4.5 实战 一 : Ansible 部 署 Nodejjs 企 业 实践 


我 们 在 代码 清单 4-1 中 展示 过 一 个 简单 搭建 的 WEB 平 台 ， 这 个 例子 用 于 做 一 些 最 基本 和 静态 页 面 展示 还 是 可 以 的 ， 但 是 并 不 适用 于 正式 的 生产 环境 。 在 接 下 来 的 3 节 中 ， 我 们 将 会 带 来 更 多 功能 更 为 完善 
的 实战 项 目 ， 其 中 大 部 分 都 是 在 实际 生产 中 被 验证 过 的 。 


下 面 将 要 在 我 们 的 CentOS6.x 服 务 器 上 配置 Node.js， 


启动 一 个 简单 的 Nodejs 实 例 ， 其 架构 如 图 4-2 所 示 。 


Node.js Server /VM 


Custom Node.]s application 


Node.Js + NPM 


CentOS 6.4 (Linux) 


图 4-2 Node.js 服 务 架构 


项 目 首先 创建 一 个 尽 可 能 简单 的 playbook 文 件 ， 如 代码 清单 4-2 所 示 。 


代码 清单 4-2 ”Playbook 通 用 头 部 信息 


=- hosts: all 
tasks: 


接 下 来 定义 要 进行 部 署 的 主机 以 及 将 要 运行 的 任务 。 


4.5.1 添加 第 三 方 源 


在 准备 部 署 一 个 服务 器 的 时 候 ， 为 了 确保 指定 的 软件 包 可 用 或 者 是 最 新 的 版 本 ， 管 理 员 经 常 首 先 添加 额外 的 源 (YUM 源 或 APT 源 ) 。 


下 面 的 脚本 ， 我 们 想 要 添加 EPEL 和 Remi 源 ， 这 些 源 中 包含 了 最 新 版 的 Node:js 的 软件 包 ， 当 然 同时 也 可 以 用 于 为 其 他 软件 更 新 。 我 们 使 用 如 下 脚本 可 以 完成 源 的 添加 和 Node:js 软 件 的 安装 工作 。 


# !/bin/bash 

# 导入 Remi GPG 密 铀 

wget http://rpms.famillecollet .com/RPM-GPG-KEY-remi \ 
-0 /etc/pki/rpm-gpg/RPM-GPG-KEY-remi 

rpm -~-import /etc/pki/rpm-gpg/RPM-GPG-KEY-remi 

# 安装 Remi 源 

rpm -Uvh --quiet \ 

http://rpms.famillecollet .com/enterprise/remi-release-6.rpm 
# 安装 EPEL 源 

yum install epel-release 

# 安装 Node.js (npm + 和 它 的 依赖 关系 ) 

yum --enablerepo=epel install npm 


这 个 Shell 脚 本 首先 导入 了 EPEL 和 Remi 的 GPG keys， 然 后 安装 这 些 到 本 地 ， 最 后 安装 Node.js。 这 种 使 用 Shell 脚 本 的 方法 对 于 简单 的 部 署 是 没有 问题 的 ， 但 是 在 本 例 中 我 们 需要 从 网 络 上 下 载 一 些 内 
容 ， 另 外 还 有 一 些 操作 是 比较 费时 的 ， 那 么 Shell 脚 本 这 种 将 很 多 工作 放 在 一 起 执行 的 方式 就 不 那么 受 当 了 。 因 为 在 这 个 耗 时 很 长 的 运行 过 程 中 ， 网 络 的 中 断 或 某 一 条 命令 的 失败 都 将 导致 整个 脚本 的 中 断 ， 
而 且 是 一 部 分 运行 成 功 ， 一 部 分 运行 失败 的 状态 。 
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如 果 你 想 跳 过 指定 的 步骤 ， 可 以 跳 过 添加 GPG keys 的 步骤 ， 只 需要 在 运行 命令 的 时 候 加 上 --nogpgcheck， 或 者 在 Ansible 中 ，yum 模 块 中 设置 disable_gpg check 参数 为 yes， 但 是 最 好 还 是 添加 GPG keys。 使 
用 GPG， 你 可 以 知道 包 的 作者 是 谁 ， 包 有 没有 修改 过 ， 除 非 你 知道 你 正在 做 什么 ， 否 则 最 好 不 要 禁止 GPG 检 查 。 


利用 Ansible 可 以 让 这 一 过 程 变 得 更 具 健壮 性 。 下 面 我 们 介绍 使 用 Ansible 的 案例 。 它 和 上 面 的 Shell 脚 本 有 同样 的 功能 ， 但 是 更 容易 理解 ， 结 构 也 更 加 清晰 。 我 们 同时 还 使 用 了 Ansible 的 变量 和 其 他 的 一 
些 有 用 的 特性 。 接 着 前 面 代码 清 单 4-2 中 我 们 写 好 的 Playbook 开 头 ， 继 续 往 下 写 。 


tasks: 
=- name: 导入 Remi GPG 密 钠 
rpm key: "key={{ item }} state=present" 
with items: 
- Whttp://rpms.famillecollet .com/RPM-GPG-KEY-remi"™ 
- name: Install Remi repo. 
command: "rpm -Uvh --force {{ item.href }} creates={{ item.creates }}" 
with items: 
- href: "http://rpms.famillecollet.com/enterprise/remi-release-6.rpm" 
creates: "/etc/yum.repos.d/remi.repo" 
- name: 安装 Remi 源 
Yum: name=epel-release state=present 
=- name: 关闭 防火 墙 
service: name=iptables state=stopped 
- name: 安装 NodeJS 和 npm 
yum: name=npm state=present enablerepo=epel 
一 name: 使 用 Taobao 的 npm 源 
command: > 
npm config set registry https://registry.npm.taobao.org 
- name: 关闭 npm 的 https 
command: > 
npm config set strict-ssl false 
- name: 安装 Forever (用 于 启动 Node.js app) 
npm: name=forever global=yes state=latest 


我 们 看 一 下 具体 步骤 。 


第 1 个 任务 ，rpm_key 是 一 个 Ansible 模 块 ， 用 于 从 你 的 RPM 数据 库 中 添加 或 移 除 GPG key。 我 们 正在 从 Remi 的 源 中 导入 一 个 key。 


第 2 个 任务 ， 因 为 Ansible 没 有 rpm 命 令 ， 因 此 我 们 借助 command 模 块 来 使 用 rpm 命 令 ， 这 样 我 们 可 以 做 其 他 的 两 件 事情 。 


1) 使 用 creates 参 数 告诉 Ansible 什 么 时 候 不 运行 这 个 命令 。 这 个 例子 里 ， 我 们 告诉 Ansible， 这 个 命令 成 功 执行 后 ， 将 会 创建 那些 文件 。 当 这 个 文件 存在 的 时 候 ， 这 个 命令 将 不 会 运行 。 


2) 使 用 with_items 定 义 一 个 URL 和 用 于 creates 检 查 的 文件 。 


第 3 个 任务 ， 全 用 yum 模 块 安装 EPEL 源 。 


第 4 个 任务 ， 因 为 这 个 服务 器 我 们 将 用 作 测试 ， 所 以 我 们 使 用 service 模 块 禁止 系统 防火 墙 ， 防 止 它 干涉 我 们 测试 。 


第 5 个 任务 ， 使 用 yum 模 块 来 安装 Nodejs 和 npm (Node 的 包 管 理 器 ) ， 我 们 使 用 enablerepo 指 定 在 EPEL 源 中 搜索 它 ， 当 然 也 可 以 使 用 disablerepo 指 定 不 使 用 哪个 源 (repository) 。 


第 6 个 任务 ， 我 们 使 用 Taobao 的 npm 源 蔡 换 默认 的 国外 源 。 


第 7 个 任务 ， 我 们 禁用 了 https 检 测 ， 因 为 在 有 些 环境 中 会 报告 一 些 ss| 相 关 的 异常 ， 但 是 这 里 我 们 有 理由 相信 Taobao 源 的 可 靠 性 。 


第 8 个 任务 ， 因 为 我 们 现在 已 经 安装 了 npm， 所 以 可 以 使 用 Ansible 的 npm 模 块 安装 Node,js 的 管理 工具 forever 来 运行 我 们 的 Nodejs app， 设 置 global 为 yes， 指 定 模块 的 安装 位 置 
为 /usVlib/node_ modules， 然 后 所 有 的 用 户 都 可 以 使 用 这 些 模块 。 


到 此 为 止 ， 我 们 已 经 有 一 个 Nodejs app 服 务 器 了 ， 接 下 来 让 我 们 部 署 一 个 简单 的 Nodejs app， 使 用 80 端 口 来 响应 HTTP 请 求 。 


Nodejs 应 用 部 署 。 首 先 ， 通 过 创建 一 个 新 的 名 为 app 的 文件 夹 ， 这 个 文件 夹 和 我 们 上 一 步 创建 的 ymal 文 件 处 于 相同 的 路 径 下 面 。 然 后 在 这 个 文件 夹 里 面 创建 文件 appjs， 并 编辑 其 内 容 如 下 : 


// 加 载 express 模块 

Var express = require('express'), 
app = express.createServer (); 

// 响应 ”/” 请 求 为 'Hello World' 
app.get ('/', function(req, res){ 
res.send('Hello World! Yunzhonge'); 


]) 7 

// 在 80 端 口 监听 

app.listen (80); 

console.1log('Express server started successfully.') 


他 编程 语言 来 写 。 但 是 因为 Node 是 非常 简单 的 语言 并 且 轻 量 级 的 系统 ， 所 以 它 是 一 个 非常 不 错 的 用 于 测试 你 的 服务 


不 会 Node.js 语 法 ? 没关系 ! 这 个 案例 也 可 以 用 Python、Perl、Java、PHP， 或 者 : 


器 语言 。 


因为 这 个 小 app 依 赖 于 Express (一 个 简 和 


的 Node 的 HTTP 框 架 ) ， 我 们 还 需要 通过 一 个 packagejson 文 件 告诉 NPM 关 了 


F 它 的 依赖 关系 ， 这 个 文件 与 app.js 处 于 相同 的 路 径 下 面 。 


"name": "examplenodeapp", 

"description": "Example Express Node.js app.", 
"author": "yunzhonghe", 

"dependencies": { 

"express": "3.X.x" 


1 
"engine"; "node >= 0.10.6" 
} 


然后 添加 下 面 内 容 到 你 的 Playbook 里 面 ， 这 段 代码 将 复制 整个 app 目 录 到 目标 服务 器 ， 


代码 清单 4-3 ”传输 app 目 录 并 安装 依赖 文件 


然后 使 F 


npm 下 载 安装 所 依赖 的 文件 (这 里 为 express.) ， 具体 见 代码 清单 4-3。 


~- name: 
file: 
- name: 
copy: 
— name: 
npm: 


确保 Node.js app 的 目录 存在 
"path={{ node apps_ location }} state=directory" 
拷贝 Node.js apP 整 个 目录 到 目标 主机 
"src=app dest={{ node apps location }}" 
安装 package.json 文 件 中 定义 的 依赖 关系 
"path={{ node apps_location }}/app" 


首先 我 们 使 
playbook 的 时 候 定义 。 


我 们 使 
Os 


Ansible 的 copy 
想 复制 一 个 归档 ， 


Ansible 的 copy 模 块 复制 整个 app 目 录 到 测试 服务 器 ，copy 模 块 可 以 自动 


然后 展开 它 ， 最 好 使 用 unarchive 模 块 。 


最 后 , 我们 使 


下 面 要 做 的 就 是 启动 这 个 app。 


4.5.2 ”运行 Nodejs 进 程 


我 们 现在 使 


forever 命 令 来 启动 这 个 app。 


file 模 块 确保 我 们 安装 的 app 目 录 存在 。{{node_apps_location}} 变 量 可 以 在 vars 部 分 定义 ，vars 部 分 位 


Fplaybook 的 顶部 。 当 然 也 可 以 在 Inevntory 文 件 中 定义 ， 也 可 以 在 运行 ansible- 


区 分 单一 的 文件 和 包含 文件 的 目录 ， 然 后 在 目录 中 递归 ， 就 像 rsync 或 scp。 


异 块 在 单个 文件 或 少量 文件 时 候 非常 好 用 ， 但 是 如 果 复 制 大 量 的 文件 ， 识 套 几 层 的 目录 ，copy 模 块 就 不 能 胜任 了 。 这 种 情形 下 ， 如 果 你 想 复制 整个 目录 ， 最 好 使 用 synchronize 模 块 ， 如 果 你 


npm 模 块 ， 这 次 除了 app 的 路 径 之 外 没有 额外 的 参数 。 这 告诉 NPM 来 解析 packagejson 文 件 ， 然 后 确保 所 有 的 依赖 关系 都 存在 。 


- name: 获取 正在 运行 的 Node.js app 列 表 
command: forever list 
register: forever list 
changed when: false 
- name: 启动 Node.js app 
command: "forever start {{ node apps location }}/app/app.js" 
when: "forever list.stdout.find('{{ node apps_location }}/app/app.js') 


-1" 


在 第 1 个 任务 中 ， 我 们 做 了 两 件 新 的 事情 。 


1) register 创 建 了 一 个 新 的 变量 forever list， 以 便于 下 次 任务 的 时 候 


作 判 断 条 件 。register 


于 保存 命令 的 输出 (包括 标准 输出 和 错误 输出 ) ， 然 后 赋 给 变量 名 。 


2) changed_when 可 以 在 任务 运行 完成 后 ， 明 确 告 诉 Ansible 这 个 任务 是 否 对 主机 造成 了 影响 (比如 改变 了 文件 或 安装 了 软件 等 ) 。 在 本 次 任务 中 ，forever list 命 令 永远 都 不 会 导致 服务 器 的 改变 ， 所 


以 我 们 指定 其 值 为 false。 


的 。 我 们 使 


第 2 个 任务 实际 上 使 


forever 启 动 了 这 个 app。 我 们 也 可 以 通过 调用 node{{fnode_apps_location}}/app/appjs 启 动 这 个 app， 不 过 这 种 方式 更 难 控制 。 


forever 会 一 直 跟 踪 它 所 管理 的 Node app， 然 后 我 们 使 用 forever 的 list 选 项 打印 正在 运行 的 app 列 表 。 我 们 第 一 次 运行 这 个 Playbook 时 候 ， 因 为 之 前 从 未 启动 过 Nodejjs app， 所 以 这 个 列表 将 会 是 空 
when 语 句 来 判断 app 的 路 径 是 否 在 forever list 的 输出 信息 中 ， 如 果 不 存在 ， 则 表明 我 们 的 Node.js app 还 未 启动 ， 于 是 触发 任务 启动 之 。 


4.5.3 ”Nodejs app 服 务 部 署 总 结 


到 这 个 时 候 ， 我 们 已 经 完成 了 可 以 安装 一 个 简单 的 可 以 通过 80 端 口 


我 们 可 以 通过 如 下 命令 来 使 我 们 编辑 的 Playbook 在 服务 器 上 生效 ， 同 时 使 


响应 HTTP 请 求 的 Node.js app。 


--extra-vars 选 项 来 对 代码 清单 4-3 中 的 变量 node_apps_location 进 行 赋值 。 


ansible-playbook --extra-vars="node apps_location=/usr/local/opt/node" 


当 这 一 切 所 有 操作 都 完成 之 后 ， 在 浏览 器 中 访问 Node.js 主 机 名 查看 效果 ， 测 试 页 面 如 图 


4-3 所 示 。 


Hello World! 


简单 ， 但 是 有 效 , 我 们 已 经 可 以 在 一 个 少 于 50 行 的 YMAL 文 件 中 配置 一 个 Node.js 应 用 


4.6 实战 二 : Drupal 基 于 LAMP 的 自动 化 部 署 


图 4-3 ”Node.js 测 试 页 面 


服务 器 了 。 


Drupal 是 使 用 PHP 语 言 编写 的 开源 内 容 管理 框架 (CMF) ， 它 由 内 容 管理 系统 (CMS) 和 PHP 开 发 框架 (Framework) 共同 构成 。 它 连续 多 年 荣获 全 球 最 佳 CMS 大 奖 ， 是 基于 PHP 语 言 最 著名 的 Web 
应 用 程序 。 本 节 我 们 借助 Drupal 的 自动 化 部 署 的 实际 案例 ， 来 介绍 应 用 范围 更 广 的 LAMP (Linux、Apache、MySQL、PHP) 的 自动 化 实现 和 Ansible 的 更 多 实用 技巧 。 


Ansible 对 多 种 类 型 的 Linux 系 统 都 有 很 好 的 支持 。 本 节 我 们 就 以 Ubuntu12.04 (版 本 14.04 中 的 部 署 过 程 相同 ) 为 主机 系统 ， 来 实现 Ansible 自 动 化 部 署 使 用 Drupal 框 架 的 LAMP。 系 统 架构 如 图 4-4 所 


Drupal LAMP Server /VM 


Drupal (application ) 


PHP >.4.X 


MySOL 5.6.X 
Apache 2.2.X I 


Ubuntu 12.04 (Linux) 


图 4-4 LAMP 架 构 


4.6.1 定义 变量 并 设置 Handlers 


在 Playbook 中 使 用 变量 文件 来 定义 变量 ， 这 样 可 以 使 Playbook 看 起 来 更 加 整洁 ， 同 时 也 能 提高 效率 。 我 们 首先 使 用 下 面 的 语法 在 Playbook 文 件 playbook.yml 头 部 添加 对 变量 文件 的 引用 。 


= hoets: all 
vars files: 
—- vars.yml 


变量 文件 可 以 实现 变量 的 集中 管理 ， 使 得 变量 的 管理 更 加 方便 、 高 效 。 现 在 我 们 的 项 目 中 还 没有 变量 需要 定义 ， 在 接 下 来 的 部 署 中 ， 当 有 变更 需要 定义 的 时 候 ， 我 们 将 直接 编辑 变量 文件 vars.yml 来 实 
现 变量 的 定义 。 


Ansible 中 ， 我 们 可 以 在 Playbook 中 使 用 pre_task 和 Post task 指定 在 主任 务 运 行 之 前 和 之 后 要 运行 的 任务 。 在 本 例 中 ， 需 要 确保 在 我 们 正式 开始 运行 部 署 LAMP 的 任务 之 前 ，APT 缓 存 是 被 更 新 过 的 ， 


也 就 是 在 任务 开始 前 我 们 主机 上 的 软件 包 都 必须 是 最 新 的 。 这 时 ， 我 们 将 得 用 apt 模 块 来 更 新 APT 缓 存 ， 同 时 设置 缓存 有 效 期 为 3600 秒 。 实 现 方法 如 下 : 


pre tasks: 
- name: Update apt cache if needed. 
apt: update cache=yes cache valid time=3600 


解决 了 APT 缓 存 的 问题 之 后 ， 我 们 将 借助 hnandlers (将 在 第 5 章 中 详细 介绍 ) 来 实现 对 apache2 服 务 的 启动 管理 。 


handlers: 
- name: restart apache 
service: name=apache2 state=restarted 


Handlers 是 Playbook 中 一 种 特殊 的 任务 类 型 ， 我 们 通过 在 任务 末尾 使 用 notify 选 项 加 Handlers 的 名 称 ， 来 触发 对 应 名 称 下 Handlers 中 定义 的 任务 。 在 本 例 中 ， 我 们 将 在 Apache 配 置 完成 后 ， 或 
Apache 配 置 文件 变动 过 后 ， 使 用 notify: restart apache 来 调用 handler 重 启 Apache 服 务 。 


Os 


就 像 变量 可 以 在 独立 文件 中 定义 一 样 ，Handlers 以 及 Playbook 中 的 任务 也 可 以 在 独立 的 文件 中 进行 定义 ， 然 后 被 当前 的 Playbook 进 行 引 用 (将 会 在 第 6 章 中 详细 介绍 ) ， 以 保证 Playbook 内 容 的 条 理性 。 在 
本 例 中 ， 为 了 保持 简单 ， 我 们 还 是 将 Handlers 以 及 Playbook 任 务 的 定义 放 在 了 一 个 Playbook 中 。 我 们 将 会 在 今后 的 章节 中 探讨 Playbook 不 同 的 组 织 方式 。 


默认 情况 下 ， 当 一 个 Playbook 中 的 任务 执行 失败 时 ，Ansible 会 停止 所 有 的 任务 ， 而 且 也 不 会 再 触发 任何 本 该 被 触发 的 Handlers。 在 某 些 情况 下 ， 这 种 默认 机 制 会 造成 不 可 预测 的 负面 影响 。 如 果 我 们 
要 确认 Handlers 无 论 如 何 都 要 被 正常 触发 的 话 ， 可 以 在 使 用 ansible-playbook 命 令 执 行 Playbook 时 ， 使 用 --force-handlers 选 项 来 强制 要 求 Handlers 可 以 被 正常 触发 。 


4.6.2 部署 LAMP 基 础 服务 


部 署 一 个 基于 LAMP 的 应 用 的 第 一 步 就 是 搭建 LAMP 服 务 本 身 。 这 是 最 简单 也 是 最 基础 的 一 步 。 在 开始 部 署 之 前 ， 我 们 还 需要 根据 具体 要 求 做 一 个 前 期 准备 工作 。 我 们 需要 安装 Apache、MySQL 及 PHP 
到 服务 器 上 面 ， 这 之 前 需要 解决 一 些 依赖 关系 。 我 们 需要 安装 5.5 版 本 的 PHP 软 件 ， 但 是 这 个 版 本 的 PHP 包 含 在 默认 的 APT 源 中 ， 所 以 我 们 还 要 添加 一 个 包含 PHP5.5 版 本 的 外 部 APT 源 。 


tasks: 
一 name: "安装 用 来 管理 ATP 源 的 工具 " 
apt: name={{ item }} state=present 
with items: 
—- python-apt 
- python-pycurl 
一 name: "添加 包含 5.5 版 本 PHP 的 ondrej 源 " 
apt_repository: repo='ppa:ondrej/php5' update cache=yes 
name: "安装 Apache、MySQL、PHP， 以 及 依赖 关系 " 一 
apt: name={{ item }} state=present 
with items: 
= Fit 
= -CUEr 
- sendmail 
- apache2 
=- php5 
- php5-common 
- php5-mysql 
=- Php5-c1li 
- Php5-curl 
- php5-gd 
- php5-dev 
- php5-mcrypt 
- php-apc 
—- php-pear 
=- python-mysqldb 
- mysql-server 
一 name: "关闭 防火 墙 (因为 本 项 目 仅 供 本 地 开发 使 用 ) " 
service: name=ufw state=stopped 
- name: "启动 Apache、MySQL 及 PHP" 
service: "name={{ item }} state=started enabled=yes" 
with items: 


- apache2 
— mysql 


下 面 我 们 对 这 个 Playbook 做 一 个 简单 的 分 析 : 


第 1 个 任务 ， 我 们 安装 了 一 些 让 Python 能 更 好 地 管理 APT 源 的 辅助 库 (因为 apt_repository 模 块 需要 借助 python-apt 和 python-pycurl 这 两 个 工具 来 实现 其 功能 


第 2 个 任务 ， 由 于 Ubuntu12.04 中 默认 的 APT 源 是 不 包含 PHP5.4.x 及 其 后 续 版 本 的 ， 所 以 我 们 安装 了 包含 PHP5.5 的 ondrej 的 PHP5-oldstable 源 。 


第 3 个 任务 ， 安 装 了 所 有 LAMP 服 务 器 需要 的 软件 包 ， 包 括 运行 Drupal 框 架 所 需 的 php5 扩 展 包 。 


第 4 个 任务 ， 由 于 本 例 基 于 测试 的 目的 ， 所 以 我 们 禁用 了 防火 墙 。 如 果 是 在 生产 环境 中 ， 我 们 需要 开启 包括 22、80 和 443 号 端口 在 内 的 必需 端 


第 5 个 任务 ， 启 动 LAMP 所 需 的 各 项 服务 ， 并 确保 它们 开机 启动 。 


4.6.3 配置 Apache 


接 下 来 我 们 将 要 配置 Apache 服 务 器 ， 使 其 能 与 Drupal 正 常 工作 。 


在 Ubuntu12.04 中 ，Apache 默 认 并 未 开启 mod_rewrite 功 能 ， 通 常 我 们 可 以 使 用 sudo a2enmod rewrite 命 令 来 解决 这 个 问题 。 但 是 ， 在 Ansible 中 我 们 可 以 使 用 apache2_module 这 个 模块 来 轻松 解 
决 这 个 问题 ， 如 代码 清单 4-4 所 示 : 


代码 清单 4-4 _ apache2_module 模 块 的 使 


=- name: Enable Apache rewrite module (required for Drupal) . 
apache2 module: name=rewrite state=present 
notify: restart apache 
- name: 在 Apache 中 为 Drupal 添 加 virtualhost 
template: 
src: "templates/drupal .dev.conf.j2" 
dest: "/etc/apache2/sites-available/{{ domain }}.dev.conf" 
Owner: root 
group: root 
mode: 0644 
notify: restart apache 
- name: 在 sites-enabled 目 录 中 添加 Drupal 所 需 配 置 文件 的 符号 链接 
file: 
src: "/etc/apache2/sites-available/{{ domain }}.dev.conf™ 
dest: "/etc/apache2/sites-enabled/{{ domain }}.dev.conf" 
state: link 
notify: restart apache 


第 1 个 任务 ， 使 用 了 Ansible 的 apache2_module 来 开启 Apache 的 rewrite 功 能 ， 其 原理 是 将 指定 的 功能 所 需 的 模块 做 一 个 符号 链接 ， 链 接 到 /etc/apache2/mods-enabled 目 录 中 。 


第 2 个 任务 ， 是 将 一 个 我 们 事先 定义 好 的 Jinja2 模 块 复制 到 Apache 的 sites-availiable 目 录 中 ， 同 时 设置 正确 的 属 主 、 属 组 及 权限 。 


第 3 个 任务 ， 是 在 sites-enabled 目 录 中 添加 Drupal 所 需 配 置 文件 的 符号 链接 ， 使 得 Apache 能 应 用 这 个 配置 文件 。 最 后 ， 任 务 还 触发 了 之 前 定义 的 handlers“restart apache” 来 重新 启动 Apache， 使 
得 新 增加 的 Apache 配 置 文件 生效 。 


下 面 我 们 来 看 一 个 Playbook 中 所 提 到 的 Jinja2 模 块 文件 dru-pal.dev.conf.j2 的 内 容 。 


<VirtualHost *:80> 
ServerAdmin webmaster@localhost 
ServerName {{ domain }}.dev 
ServerAlias www.{{ domain }}.dev 
DocumentRoot {{ drupal core path }} 
<Directory "{{ drupal Core Path }}"> 
Options FollowSymLinks Indexes 
AllowOverride All 
</Directory> 
</VirtualHost> 


可 以 看 到 ， 在 标准 的 Apache VirtualHost 的 定义 代码 中 使 用 了 一 些 Jinja2 的 变量 。 这 种 变量 的 使 用 方式 与 我 们 在 Playbook 中 使 用 变量 的 方法 是 一 样 的 ， 都 是 两 个 大 括号 包含 着 变量 名 ， 比 如 : 
{{variable}}。 


这 个 模块 文件 中 提 到 了 3 个 变量 (drupal_core_version，drupal_core_path，domain) ， 我 们 在 之 前 提 到 的 变量 配置 文件 vars.yml 中 对 它们 进行 定义 赋值 。 


# 定义 Drupal 要 使 用 的 版 本 (比如 : 6.x，7.x， 8.0.x) 
drupal core version: "8.0.x" 

# 定义 Drupal 将 被 下 载 和 安装 的 路 径 

drupal core path: "/var/www/drupal-{{ drupal core version }}-dev" 
# 定义 域名 

domain: "drupaltest" 


当 Ansible 运 行 到 复制 模板 文件 这 一 步 时 ， 模 板 文件 中 的 Jinja2 变 量 将 会 自动 被 替换 为 我 们 在 变量 文件 vars.yml 中 定义 的 值 。 


此 时 ，Apache 已 经 可 以 启动 了 。 但 是 ， 如 果 此 时 我 们 定义 的 Drupal 的 安装 目录 还 未 被 创建 ， 通 常情 况 下 ，Apache 是 要 报错 的 。 但 是 在 本 例 中 ， 我 们 使 用 的 是 handlers 的 方式 来 触发 式 开 启 Apache 服 
务 ， 也 就 是 说 只 有 在 代码 清单 4-4 中 的 notify 前 面 的 3 个 任务 都 运行 成 功 时 ， 用 于 启动 Apache 的 handler 才 能 被 触发 。 


4.6.4 配置 PHP 


在 之 前 的 章节 中 ， 我 们 曾 简要 的 提 到 过 Ansible 的 lineinfile 模 块 的 使 用 及 案例 。lineinfile 模 块 是 Ansible 编 辑 文件 内 容 的 一 大 利器 。 对 于 PHP 的 配置 ， 我 们 就 主要 借助 lineinfile 模 块 来 完成 。 


通过 编辑 修改 PHP 的 配置 文件 ， 也 可 以 反映 出 lineinfile 模 块 在 编辑 文件 方面 的 简单 实用 。 我 们 来 看 下 面 这 个 编辑 PHP 配 置 文件 的 例子 。 


- name: Enable upload progress via APC . 
lineinfile: 
dest: "/etc/php5/apache2/conf.d/20-apcu.ini" 
regexp: "^apc.rfc1867" 
line: "apc.rfc1867 = 1" 
state: present 
notify: restart apache 


在 这 个 任务 中 ,我 们 的 目的 是 开启 PHP 的 apc.rfc1867 选 项 ， 以 确保 APC 支 持 上 传 进度 条 功能 。 在 任务 一 开始 ， 我 们 使 用 dest 关 键 字 告诉 |ineinfile 模 块 要 被 编辑 的 文件 的 位 置 及 名 称 ， 然 后 使 用 正则 表达 
式 来 搜索 PHP 的 配置 项 apc.rfc1867， 接 着 使 用 line 关 键 字 来 指定 被 匹配 到 的 行 具 体 应 该 是 什么 内 容 ， 最 后 ， 使 用 state 关 键 字 来 明确 指定 我 们 需要 这 行内 容 保留 下 来 。 


由 此 可 以 看 出 ，Ansible 的 lineinfile 模 块 是 自动 化 管理 服务 配置 文件 的 一 大 利器 。 


4.6.5 配置 MySQL 


对 于 本 例 中 的 MySQL 而 言 ， 我 们 首先 需要 删除 系统 默认 自 带 的 test 数 据 库 ， 然 后 为 Drupal 创 建 一 个 新 库 ， 我 们 使 用 下 面 一 段 代 码 实现 : 


一 name: 删除 test 数据 库 
mysql db: db=test state=absent 
一 name: 为 Drupal 创 建新 库 
mysql db: "db={{ domain }} state=present" 


MySQL 在 安装 之 初 都 会 默认 安装 一 个 名 为 test 的 测试 数据 库 ， 在 我 们 使 用 mysql_secure_installation 命 令 来 安装 MySQL 时 候 ， 也 是 会 提醒 我 们 对 其 进行 删除 的 。 因 为 这 个 库 对 我 们 的 环境 没有 用 处 ， 所 
以 配置 MySQL 的 第 一 步 就 是 删除 这 个 库 。 接 下 来 ， 我 们 创建 了 一 个 名 为 {{domain}} 的 数据 库 ， 即 以 Drupal 网 站 的 域名 来 命名 这 个 库 。 


Os 


Ansible 同 时 支持 包括 以 下 数据 库 类 型 在 内 的 大 多 数 数据 库 类 型 : MongoDB、MySQL、PostgreSQL、Redis 和 Riak 等 。 对 于 MySQL 而 言 ，Ansibe 使 用 Python 的 MySQLdb 模 块 《python-mysqldb) 来 对 MySQL 数 


据 库 进 行 管理 ， 并 且 上 默认 使 用 toot 免 密码 登录 。 很 显然 ， 这 并 不 符合 我 们 在 生产 环境 中 的 要 求 。 在 实际 应 用 中 ， 我 们 第 一 步 要 做 的 就 是 修改 MySQL 的 toot 密 码 ， 并 限制 toot 账 号 只 能 本 地 登录 ， 同 时 删除 不 需 
要 的 数据 库 用 户 。 


4.6.6 安装 Drush 和 Composer 


Drush 是 一 个 Drupal 命 令 行 工具 ， 是 在 Shell 中 操作 Drupal 的 桥梁 。 使 用 Drush 不 仅 可 以 快速 得 到 网 站 状态 ， 还 可 以 对 网 站 进行 维护 ， 而 且 还 能 很 方便 地 做 批 处 理 。Composer 是 PHP 的 包 管理 工具 。 二 
者 是 对 PHP 网 站 管理 经 常用 到 的 工具 。 使 用 如 下 代码 可 实现 Drush 和 Composer 的 自动 化 安装 : 


- name: Download Composer installer. 
get url: 
“url: https:// getcomposer.org/installer 
dest: /tmp/composer-installer.php 
mode: 0755 
— name: Run Composer installer. 
command: > 
Php composer-installer.php 
chdir=/tmp 
creates=/usr/local/bin/composer 


- name: Move Composer into globally-accessible location. 
shell: > 
mv /tmp/composer.phar /usr/local/bin/composer 
creates=/usr/local/bin/composer 


前 两 个 任务 下 载 并 安装 了 Composer， 安 装 之 后 ， 在 /tmp 目 录 下 会 生成 一 个 PHP 的 应 用 包 composer.phr， 这 个 包 由 第 3 个 任务 移 到 了 目录 /usr/local/bin 下 面 ， 并 命名 为 composer， 这 样 一 来 ， 我 们 就 
可 以 直接 在 命令 行 中 使 用 composer 命 令 来 安装 Drush 的 依赖 关系 了 。 第 2 个 任务 和 第 3 个 任务 中 的 creates 选 项 是 command 模 块 和 Shell 模 块 共有 的 选项 ， 表 示 如 果 文 件 存在 ， 就 不 再 执行 相应 的 命令 。 


接 下 来 通过 GitHub 下 载 并 安装 Drush， 


=- name: 从 GitHub 中 下 载 Drush 代 码 
ts 
repo: https:// github.com/drush-ops/drush.git 
dest: /opt/drush 
一 name: 使 用 Composer 安 装 Drush 
shell: > 
/usr/local/bin/composer install 
chdir=/opt/drush 
creates=/opt/drush/vendor/autoload.php 
一 name: 创建 Drush 命 令 的 符号 链接 


src: /opt/drush/drush 
dest: /usr/local/bin/drush 
state: link 


在 本 例 中 ,我 们 借助 了 Ansible 的 git 模 块 从 GitHub 上 克隆 了 Drush 的 代码 。git 模 块 只 需要 再 用 简单 的 参数 repo 和 dest 来 分 别 指定 文件 在 GitHub 上 的 URL 和 克隆 到 本 地 的 存放 位 置 。Drush 代 码 被 下 载 
到 /opt/drush 目 录 后 ， 在 任务 二 中 切换 到 这 个 目录 下 ， 直 接 利 用 mposer 即 可 安装 。 最 后 在 任务 三 中 ， 为 Drush 的 二 进 制 命令 文件 创建 符号 链接 ， 这 样 就 能 在 命令 行 中 直接 使 用 Drush 命 令 了 。 


4.6.7 ”通过 Git 和 Drush 安 装 Drupal 


我 们 将 通过 Git 来 克隆 Drupal 的 代码 ， 并 将 其 保存 到 我 们 之 前 定义 的 Apache 文 档 根 目 录 (DocumentRoot) 中 ， 然 后 使 用 Drush 来 完成 最 后 的 安装 。 来 看 下 面 的 代码 : 


一 name: 下 载 Drupal 代 码 到 Apache 的 DocumentRoot 


repo: http://git.drupal.org/project/drupal.git 
version: "{{ drupal core version }}" 
dest: "{{ drupal core path }}" 
=- name: 安装 Drupal 
command: > 
drush si -~y --site-name="{{ drupal site name }}" --account-name=admin 
=--account-pass=admin --db-url=mysqI:// root@localhost/{{ domain }} 
chdir={{ drupal core path }} 
creates={{ drupal core path }}/sites/default/settings.php 
notify: restart apache 
- name: 为 settings.php 设 置 正确 的 权限 
file: 
path: "{{ drupal core path }}/sites/default/settings.php" 
mode: 0744 
=- name: 开放 files 目 录 的 所 有 权限 
file: 
path: "{{ drupal core path }}/sites/default/files" 
mode: 0777 
state: directory 
recurse: yes 


在 任务 一 中 ， 我们 从 Drupal 的 Git 源 中 下 载 了 Drupal 的 代码 ， 下 载 的 版 本 为 我 们 之 前 在 变量 文件 中 定义 的 drupal_core_version 值 。 


在 任务 二 中 ， 我们 使 用 Drush 的 si 命令 (site-install 的 缩写 ) 来 安装 Drupal， 在 安装 过 程 中 同时 配置 了 数据 库 连 接 ， 使 用 creates 来 检测 重要 配置 文件 settings.php 是 否 被 生成 ， 以 此 判断 Drupal 是 否 安 
装 成 功 ， 最 后 触发 handlers 来 重启 Apache。 


本 例 中 我 们 用 到 了 一 个 新 变量 drupal_site_name， 这 个 变量 之 前 并 未 在 变量 文件 vars.yml 中 定义 过 ， 所 以 我 们 要 在 vars.yml 文 件 中 追加 如 下 代码 来 为 该 变量 赋值 : 


# Drupal 网 站 的 名 称 
drupal site name: "D8 Test" 


4.6.8 Drupal 部 署 过 程 总 结 


至 此 ， 一 个 可 以 自动 化 安装 LAMP 并 安装 Drupal 的 Playbook 已 经 完成 ， 可 以 使 用 ansible-playbook 命 令 来 执行 这 个 Playbook。 


ansible-playbook playbook.yml 


命令 执行 完成 以 后 ， 我 们 可 以 通过 访问 http://drupaltest.dev (默认 已 做 好 地 域名 和 IP 地 址 的 映射 ) 来 访问 你 的 Drupal 网 站 ， 在 首页 使 用 账号 密码 admin/admin 来 登录 管理 后 台 。 


Drupal 的 自动 化 部 署 成 功 的 同时 ， 我 们 也 熟悉 了 LAMP 的 自动 化 实现 ， 可 以 将 这 套 配 置 推 而 广 之 ， 将 其 应 用 于 Symfonw、Wordpress、Joomla， 以 及 Laravel 等 的 安装 。 


4.7 实战 三 : Ansible 部 署 Tomcat 企 业 实 战 


Apache Solr 是 一 种 高 效 可 扩展 的 企业 级 搜索 应 用 服务 器 。 它 易于 安装 和 配置 ， 而 且 附 带 了 一 个 基于 HTTP 的 管理 界面 。Solr 已 经 在 众多 大 型 的 网 站 中 使 用 ， 较 为 成 熟 和 稳定 。 本 节 我 们 将 通过 部 署 当前 
最 新 版 本 的 Apache Solr， 来 向 大 家 详细 介绍 Tomcat8 在 Ubuntu14.04 系 统 上 的 自动 化 部 署 。 


4.7.1 定义 变量 并 设置 Handlers 


与 4.6 节 部 署 LAMP 相 同 ， 我 们 在 Playbook 开 头 处 先 引入 用 于 独立 保存 和 定义 变量 的 变量 文件 vars.yml， 我 们 的 Playbook 文 件 依旧 命名 为 playbook.yml。 开 头 内 容 定义 如 下 : 


~ hosts: all 
vars files: 


- vars.yml 


在 playbook.yml 相 同 目录 下 ， 我 们 创建 变量 文件 vars.yml， 并 在 vars.yml 中 定义 如 下 变量 : 


# 软件 包 下 载 路 径 
download dir: /tmp 

# Tomcat 版 本 号 

tomcat version: 8.0.35 
# Tomcat 安 装 路 径 

tomcat dir: /opt/tomcat 
# Solr 安 装 路 径 

solr dir: /opt/solr 

# Solr 版 本 号 (最 新 版 ) 


solr version: 6.1.0 


这 5 个 变量 分 别 定义 了 软件 包 的 下 载 存放 目录 、Tomcat 版 本 号 、Tomcat 安 装 路 径 、Solr 安 装 目 录 、Solr 软 件 版 本 号 。 


接 下 来 定义 用 于 触发 式 启动 Tomcat 的 handlers， 这 里 我 们 使 用 Ubuntu 上 的 Upstart 脚 本 来 管理 Tomcat。 


handlers: 
- name: start tomcat 
command: > 
initctl] start tomcat 


Ubuntu 从 6.10 开 始 逐 步 用 Upstart 代 蔡 原 来 的 sysinit， 进 行 服务 进程 的 管理 。 系 统一 般 默 认 自 带 Upstart， 不 需要 单独 安装 ， 我 们 用 来 管理 Tomcat 的 Upstart 脚 本 文件 为 tomcat.conf， 需 放 放置 在 被 管 


理 主机 的 /etc/init 目 录 下 面 。 其 内 容 如 下 : 


description "Tomcat Server" 
start on runlevel [2345] 
stop on runlevel [!2345] 
respawn 
respawn limit 10 5 
setuid tomcat 
setgid tomcat 
env JAVA HOME=/opt/java 
env CATALINA HOME=/opt/tomcat 
# Modify these options as needed 
env JAVA OPTS="-Djava.awt.headless=true -Djava.security.egd=file:/dev/./urandom" 
env CATALINA OPTS="-Xms512M -Xmx1024M -server -XX:+UseParallelGC" 
exec $CATALINA HOME/bin/catalina.sh run 
# cleanup temp directory after stop 
post-stop script 
rm -rf $CATALINA HOME/temp/* 
end script a 


我 们 将 会 在 接 下 来 的 Playbook 任 务 中 ， 通 过 copy 模 块 将 其 发 送 到 目标 主机 的 /etc/init 目 录 下 。 


4.7.2 ”安装 java 


新 版 的 Solr 需 要 Tomcat8 以 及 JDK8 以 上 版 本 的 支持 。Ubuntu14.04 中 ，APT 源 上 面 默 认 的 是 jdk7， 所 以 我 们 不 能 直接 使 用 apt 模 块 来 进行 JDK 的 安装 ， 需 要 从 Oracle 官 网 下 载 最 新 JDK8 进 行 解压 安装 。 
考虑 到 国内 连接 Oracle 官 网 的 速度 ， 我 们 推荐 先 将 JDK 软 件 下 载 到 Ansible 服 务 器 上 ， 再 用 copy 模 块 发 送 到 目标 远程 主机 。 


tasks: 
一 name: 发 送 JDK 软 件 包 和 Java 配 置 文件 到 远程 主机 
copy: "src={{ item.src }} dest={{ item.dest }}" 
with items: 
- src: "./jdk-8u11-linux-x64.tar.gz" 
dest: "/tmp/" 
- Sre: "./java.sh" 
dest: "/etc/profile.d/" 
一 name: 创建 Java 安 装 目录 
command: > 
mkdir -P /opt/java 
一 name: 解压 JDK 软 件 包 
command: > 
tar -C /opt/java -xvf {{ download dir}}/jdk-8u11-linux-x64.tar.gz 
=--Strip-components=1 加 
一 name: 为 Java 命 令 更 新 alternatives 
command: > 
update-alternatives --install /usr/bin/java java /opt/java/bin/java 300 
一 name: 为 javac 更 新 alternatives 
command: > 
update-alternatives --install /usr/bin/javac javac /opt/java/bin/ 
javac 300 


在 这 部 分 任务 中 ， 任 务 一 中 用 到 的 文件 java.sh 用 于 定义 Java 运 行 所 需 的 环境 变更 ， 其 内 容 如 下 : 


export JAVA HOME="/opt/java" 

export CLASSPATH=$JAVA HOME/1ib:$JAVA HOME/jre/lib 
export JRE HOME=$ {JAVA HOME}/jre 

export PATH=$PATH:$JAVA HOME/bin 


最 后 两 个 任务 ， 我 们 使 用 update-alternatives 命 令 来 切换 Java 命 令 和 javac 命 令 的 版 本 ， 这 里 | 


4.7.3 安装 Tomcat8 


在 Ubuntu 系统 中 安装 Tomcat7 非 常 简单 ， 因 为 在 Ubuntu 默认 的 APT 源 中 就 有 Tomcat7 的 安装 包 ， 只 时 


确 要 求 Tomcat 版 本 要 尽量 的 新 ， 所 以 接 下 来 就 实现 Tomcat8 的 安装 。 


一 name: 创 建 Tomcat 安 装 目录 
command: > 
mkdir -p {{ tomcat dir }} 
一 name: 添加 运行 Tomcat 所 需 的 普通 用 户 tomcat 
user: "name=tomcat shell=/sbin/nologin™ 
- name: 下 载 Tomcat 软 件 包 
get url: 
url: "http://apache.fayea.com/tomcat/tomcat-8/v{{ tomcat version }}/bin/ 
apache-tomcat-{{ tomcat version}}.tar.gz" 加 
dest: "{{ download dir }}/apache-tomcat-{{ tomcat Version }}.tar.gz" 
一 name: 解压 缩 Tomcat 软 件 包 
command: > 
tar -C {{ tomcat dir}} -xvf {{ download dir }}/apache-tomcat-{{ tomcat 
version }}.tar.gz --strip-components=1 
creates={{ tomcat dir }}/conf/server.xml 
一 name: 发 送 Tomcat 的 Upstart 配 置 文件 到 远程 主机 
Copy: "src=./tomcat.conf dest=/etc/init/tomcat.conf" 
一 name: 重 载 Upstart 配 置 文件 
command: initctl reload-configuration 


到 的 新 版 Java 所 F 


路 径 就 是 由 java.sh 文 件 来 定义 的 。 


apt 模 块 就 能 轻松 完成 。 但 是 现在 Tomcat8 已 成 为 主流 ， 而 且 我 们 将 要 安装 的 新 版 Solr 也 明 


在 任务 三 中 ， 我 们 选择 了 官方 给 出 的 下 载 速度 最 快 的 链接 进行 直接 下 载 ， 在 应 用 中 可 以 根据 自己 的 网 络 环境 选择 直接 从 链接 下 载 或 者 像 JDK 一 样 ， 先 下 载 到 Ansible 服 务 器 本 地 ， 然 后 通过 内 网 传送 到 目 


标 3 


机 。 


在 任务 五 中 ， 我 们 将 Tomcat 的 Upstart 配 置 文件 发 送 到 了 远程 目标 主机 ， 并 在 接 下 来 的 任务 中 使 Upstart 重 载 了 它 的 配置 文件 ， 从 而 可 以 顺利 地 管理 Tomcat。 


4.7.4 安装 Apache Solr 


Ubuntu 系统 中 默认 APT 源 中 包含 Apache Solr 的 安装 包 ， 但 是 其 版 本 太 过 陈旧 。 我 们 将 下 载 最 新 版 Solr 进 行 解压 安装 ， 代 码 如 下 : 


name: 下 载 新 版 Solr 软 件 包 
get url: 
“url: "http://apache.fayea.com/lucene/solr/{{ solr version }}/solr-{{ solr_ 
version }}.tgz" 
dest: "{{ download dir }}/solr-{{ solr version }}.tgz" 
name :创建 Solr 安 装 目 录 
command: > 
mkdir -p {{ solr dir }} 
一 name: 解压 缩 Solr 软 件 包 到 安装 目录 
command: > 
tar -C {{ solr dir }} -xvzf {{ download dir }}/solr-{{ solr version }}.tgz 
--strip-components=1 加 加 
creates={{ solr dir }}/dist/solr-core-{{ solr version }} .Ja 


在 解压 缩 的 任务 中 ， 我 们 使 用 了 command 模 块 的 creates 选 项 来 判断 解压 后 的 某 个 指定 文件 是 否 存在 ， 并 确定 指定 版 本 的 Solr 软 件 包 是 否 已 经 被 解压 过 。 如 果 该 文件 存在 ， 则 说 明 Solr 软 件 已 经 被 解压 


则 不 需 再 执行 解压 任务 ， 以 减少 重复 任务 ， 提 高 效率 ， 同 时 保证 了 朝 等 性 。 


Solr 软 件 的 安装 方法 和 Tomcat 很 像 ， 解 压 后 不 需要 编译 ， 直 接 将 软件 包 放 在 指定 的 位 置 并 对 配置 文件 稍 做 修改 即 可 。 


一 name: 将 Solr 文 件 部 署 到 指定 Tomcat 目 录 中 
shell: > 
rsync -av {{ item.src }} {{ item.dest }} 
creates={{ item.creates }} 
with items: 
= src: "{{ solr dir }}/server/solr-webapp/webapp/*" 
dest: "{{ tomcat dir }}/webapps/solr" 
creates: "/opt/tomcat/webapps/solr/index.html" 
- src: "{{ solr dir }}/server/lib/ext/*" 
dest: "{{ tomcat dir } }/webapps/solr/WEB-INF/1ib/" 
creates: "/opt/tomcat/webapps/solr/WEB-INF/1ib/slf4j-api-1.7.7.jar" 
- src: "{{ solr dir }}/server/resources/10g4j .properties" 
dest: "{{ tomcat dir }}/webapps/solr/WEB-INF/classes/" 
creates: "/opt/tomcat/webapps/solr/WEB-INF/classes/10g4j .properties" 


上 面 这 个 任务 将 Tomcat 所 需 的 Solr 的 页 面 文 件 和 库 文件 全 部 部 署 到 位 ， 同 样 使 用 shell 模 块 的 creates 选 项 来 预先 判断 文件 是 否 已 经 存在 ， 以 减少 重复 操作 。 


下 一 步 ， 我 们 需要 修改 Solr 的 配置 文件 /path/to/tomcat/webapps/solr/WEB-INF/web.xml， 修 改 其 中 的 部 分 ， 来 指定 Solr 的 Home 目 录 。 修 改 内 容 如 下 : 


<env-entry> 
<env-entry-name>solr/home</env-entry-name> 
<env-entry-value>/opt/solr/server/solr</env-entry-value> 
<env-entry-type>java.lang.String</env-entry-type> 
</env-entry> 


我 们 选择 将 该 文件 在 本 地 手动 配置 好 后 直接 发 送 至 目标 主机 。 


一 name: 覆盖 Solr 配 置 文件 
copy: "src=./web.xml dest=/opt/tomcat/webapps/solr/WEB-INF/web.xml" 


接 下 来 ,将 Solr 和 Tomcat 安 装 目 录 中 的 所 有 文件 的 属 主 和 属 组 全 部 设 为 前 面 创建 的 普通 用 户 tomcat， 之 后 就 可 以 触发 Handlers 来 启动 Tomcat 了 。 


- name: 修改 Solr 和 Tomcat 安 装 目录 下 的 文件 权限 ， 并 启动 Tomcat 
file: 
path: "/opt" 
owner: tomcat 
group: tomcat 
recurse: yes 
notify: start tomcat 


在 命令 行 中 执行 ansible-playbook playbook.yml，Solr 将 会 自动 部 署 到 目标 主机 。 执 行 完 成 后 ， 在 浏览 器 中 选择 文件 http://solr.expmple.com: 8080/solr/index.html (假设 你 的 目标 主机 的 域名 为 


solr.example.com) ， 就 可 以 看 到 Solr 的 管理 页 面 了 。 


4.8 本章 小 结 


的 模块 和 相近 的 语法 在 在 命令 行 中 一 一 实现 。 


现在 ， 你 应 该 对 Ansible 的 工作 场景 有 了 一 个 比较 清楚 的 了 解 了 。Playbook 是 Ansible 发 挥 作用 的 无 可 争议 的 核心 。Ansible 通 过 Playbook 来 实现 它 的 具体 功能 ， 同 时 Playbook 中 的 各 项 任务 还 可 以 相同 


掌握 了 Playbook 的 用 法 之 后 ， 接 下 来 的 章节 我 们 将 深入 讨论 Playbook 的 高 级 用 法 ， 包 括 任务 组 织 、 条 件 判断 以 及 高 级 变量 等 。 再 深入 学 习 ， 我 们 还 借助 role 来 组 织 Playbook， 从 而 大 大 增加 Ansible 执 


行 任务 的 灵活 性 ， 并 且 可 以 在 配置 服务 器 组 织 架构 方面 节省 大 量 时 间 。 


第 5 章 Ansible Playbook 拓 展 


第 4 章 当 中 ， 我们 用 到 过 的 Playbook 及 一 些 功能 相对 简单 的 Playbook 的 组 合 ， 其 实 已 经 包含 了 日 常生 产 环境 中 的 很 多 场景 。 但 是 ， 当 我 们 把 视野 扩展 到 整个 系统 管理 ， 还 是 有 许 许多 多 的 Ansible 功 能 


需要 学 习 和 掌握 。 


5.1 Handlers 


在 4.6 节 LAMP 实 战 中 ， 我 们 就 已 经 使 用 了 Handlers 来 实现 了 重启 Apache 的 功能 ， 该 实例 中 ， 一 些 修改 Apache 配 置 文件 的 操作 使 用 notify: restart apache 触 发 Handlers， 从 而 实现 了 Apache 的 重 


handlers: 
— name: restart apache 
service: name=apache2 state=restarted 
tasks: 
一 name: 开启 Apache rewrite 模 块 
apache2 module: name=rewrite state=present 
notify: restart apache 


在 某 些 情况 下 ， 你 可 能 需要 同时 调用 多 个 Handlers， 或 者 需要 使 用 Handlers 调 用 其 他 Handlers，Ansible 可 以 很 简便 地 实现 这 些 功能 。 


下 面 的 例子 中 ， 实 现 了 一 个 任务 同时 调用 多 个 Handlers。 


- name: Rebuild application configuration. 
command: /opt/app/rebuild.sh 
notify: 
- restart apache 
- restart memcached 


若 要 实现 Handlers 调 用 Handlers， 则 直接 在 Handlers 中 使 用 notify 选 项 就 可 以 了 ， 如 以 下 代码 所 示 。 


handlers: 
- name: restart apache 
service: name=apache2 state=restarted 
notify: restart memcached 
- name: restart memcached 
service: name=memcached state=restarted 


在 使 用 Handlers 的 过 程 中 ， 有 以 下 几 点 需要 格外 注意 。 


' Handlers 只 有 在 其 所 在 的 任务 被 执行 时 ， 才 会 被 运行 ; 如 果 一 个 任务 中 定义 了 notify 调 用 Handlers ， 但 是 由 于 条 件 判断 等 原因 ， 该 任务 未 被 执行 ， 那 么 Handlers 同 样 不 会 被 执行 。 


' Handlers 只 会 在 Play 的 末尾 运行 一 次 ; 如 果 想 在 一 个 Playbook 的 中 间 运 行 Handlers ， 则 需要 使 用 meta 模 块 来 实现 ， 例 如 : -meta: flush_handlers。 


-如果 一 个 Play 在 运行 到 调用 Handlers 的 语 白 之 前 失败 了 ， 那 么 这 个 Handlers 将 不 会 被 执行 。 我 们 可 以 使 用 mega 模 块 的 -force-handlers 选 项 来 强制 执行 Handlers， 即 使 是 Handlers 所 在 的 Play 中 途 运行 失败 也 能 
执行。 


5.2 环境 变量 


在 Ansible 中 设置 和 使 用 环境 变量 的 方法 多 种 多 样 。 例 如 ， 如 果 我 们 想 为 连接 远程 主机 的 账号 设置 一 些 环境 变量 ,我 们 可 以 使 用 lineinfile 模 块 直接 修改 远程 用 户 的 ~/.bash_profile 文 件 ， 如 下 代码 所 示 : 


一 name: 为 远程 主机 上 的 用 户 指定 环境 变量 
lineinfile: dest=~/.bash profile regexp=^ENV VAR= line=ENV_VRAR=value 


在 此 之 后 的 所 有 任务 都 可 以 使 用 这 些 变 量 。 


再 如 ， 为 了 再 后 续 的 任务 中 使 用 此 前 定义 过 的 变量 ， 可 以 使 用 register 选 项 来 将 环境 变量 存储 到 自 定义 的 变量 中 去 。 


一 name: 为 远程 主机 上 的 用 户 指定 环境 变量 

lineinfile: dest=~/.bash profile regexp=^ENV VAR= line=ENV_VRAR=value 
一 name: 获取 刚刚 指定 的 环境 变量 ， 并 将 其 保存 到 自 定义 变量 foo 中 

shell: 'source ~/.bash profile && echo SENV_VRR' 

register: foo 
一 name: 打印 出 环境 变量 

debug: msg="The variable is {{ foo.stdout }}" 


我 们 在 第 4 行使 用 了 “source~/.bash_profile” 命 令 重读 了 环境 变量 配置 文件 ， 这 样 就 能 确保 我 们 接 下 来 获取 的 是 最 新 生效 的 环境 变量 。 在 某 些 情 况 下 ， 若 所 有 任务 都 运行 在 一 个 持久 的 或 准 高 速 缓存 
的 SSH 会 话 上 的 话 ， 如 果 不 重读 环境 变量 配置 文件 ， 那 么 我 们 所 定义 的 新 环境 变量 ENV_VAR 可 能 就 不 会 生效 。 


Os 


为 什么 要 使 用 ~/.bash_profile 文 件 来 定义 环境 变量 ? 其 实 有 很 多 不 同 的 系统 文件 可 以 用 来 保存 环境 变量 ， 比 如 用 户 家 目录 下 的 .bashrc、.profile， 以 及 我 们 所 用 到 的 .bash_profile。 


Linux 同 样 也 使 用 文件 /etc/environment 来 读 取 环境 变量 ， 所 以 我 们 也 可 以 使 用 如 下 方法 来 指定 远程 主机 上 用 户 的 环境 变量 。 


- name: Add a global environment variable. 
lineinfile: dest=/etc/environment regexp=^ENV VAR= line=ENV_VRR=value 
sudo: yes 


lineinfile 模 块 可 以 很 方便 地 处 理 对 环境 变量 设 定量 较 少 的 情况 。 当 我 们 需求 大 量 的 环境 变量 设 定 的 时 候 ，copy 模 块 和 接 下 来 要 讲 的 模板 将 会 是 不 错 的 选择 。 


预定 义 环境 变量 


对 于 某 一 个 Play 来 说 ， 我 们 可 以 使 用 environment 选 项 来 为 其 设置 单独 的 环境 变量 。 比 如 ， 我 们 现在 需要 为 一 个 下 载 任务 设置 http 代 理 。 最 简单 的 情况 ， 我 们 可 以 这 样 实现 : 


一 name: 使 用 指定 的 代理 服务 器 下 载 文人 
get url: url=http://www.example.com/file.tar.gz dest=~/Downloads/ 
environment: 
http proxy: http://example-proxy:80/ 


但 是 ， 一 旦 任务 数量 增多 或 者 需要 其 他 环境 变量 时 ， 这 种 方法 就 会 变 得 非常 笨重 。 在 此 例 中 ， 我 们 可 以 使 用 playbook 中 的 var 区 块 (或 者 一 个 包含 变量 的 外 部 文件 ) 来 传递 多 个 环境 变量 到 play 中 ， 如 
以 下 代码 所 示 : 


Var _PIOXY: 


http proxy: http://example-proxy:80/ 
https proxy: https:// example-proxy:443/ 


[etchttp://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15935/OEBPS/Text/...] 


tasks: 
一 name: 使 用 指定 的 代理 服务 器 下 载 文件 
get url: url=http://www.example.com/file.tar.gz dest=~/Downloads/ 
environment: var proxy 


如 果 要 为 整个 系统 设置 代理 服务 器 ， 那 么 建议 使 用 /etc/environment 文 件 进行 定义 ， 如 以 下 代码 所 示 : 


Vars: 
proxy state: present 
tasks: 
- name: Configure the proxy. 
lineinfile: 
dest: /etc/environment 
regexp: "{{ item.regexp }}" 
line: "{{ item.line }}" 
state: "{{ proxy state }}" 
with items: 
= { regexp: "^http proxy=", line: "http proxy=http://example- 
proxy:80/" } 
- { regexp: "^https proxy=", line: "https proxy=https://example- 
proxy:443/" } 
- { regexp: "^ftp proxy=", line:"ftp proxy=http://example-proxy:80/" } 


采用 这 种 方法 ， 无 论 我 们 使 用 何 种 代理 协议 (http、https 或 ftp) ， 都 可 以 通过 变量 proxy_stat 来 决定 是 否 启 上 


代理 服务 。 当 然 ， 我 也 可 以 使 有 


Oa 
我 们 可 以 使 用 如 下 命令 来 检测 我 们 在 远程 主机 设置 的 环境 变量 是 否 生效 : 
ansible test-m shell-a'echo$TEST" 


注意 保持 单 引号 和 双 引 号 前 后 一 致 。 


5.3 ”变量 


之 里 


类 似 的 方法 来 设置 其 他 类 似 系统 级 别 的 变量 。 


Ansible 中 变量 的 命名 规则 与 其 他 语言 或 系统 中 变量 的 命名 规则 非常 相似 。 在 Ansible 中 ， 变 量 以 英文 大 小 写字 母 开头 ， 中 间 可 以 包含 下 划 线 (_) 和 数字 。 


合法 的 变量 定义 格式 如 : foo、foo_bar、foo_bar_ 5、fooBar， 但 是 通常 我 们 建议 字母 都 用 小 写 ， 避 免 变 量 名 中 大 小 写字 母 混合 的 “驼峰 式 ”写法 ， 同 时 ， 应 尽量 避免 在 变量 中 间 出 现 数字 ， 


字 出 现在 变量 名 末尾 。 


不 合 规 的 变量 举例 如 下 : _foo、foo-bar、5 foo_bar、foo.bar、foo bar。 


在 Inventory 文 件 中 ， 比 如 Ansible 的 Hosts 文 件 ， 我 们 使 用 等 号 “=” 来 为 变量 赋值 ， 如 : 


foo=bar 


在 Playbook 和 包含 变量 设置 的 配置 文件 中 ， 我 们 使 用 冒号 “: ”来 为 变量 赋值 ， 如 : 


foo: bar 


5.3.1 Playbook 变量 


Ansible 中 有 多 种 不 同 的 途径 来 定义 变量 。 


比如 在 运行 Playbook 时 ， 使 用 --extra-vars 选 项 定 指定 额外 的 变量 。 


ansible-playbook example.yml --extra-vars "foo=bar" 


我 们 也 可 以 直接 引 


JSON 或 YMAL 代 码 来 设置 额外 变量 ， 或 者 直接 将 定义 变量 的 JSON 或 YAML 代 码 写 入 一 个 文件 中 ， 然 后 调用 这 个 文件 。 比 如 : 


ansible-playbook example.yml --extra-vars "Geven more vars.json" 
ansible-playbook example.yml --extra-vars "Qeven more vars.yml “ 


上 面 是 Ad-Hoc 方 式 中 设置 额外 变量 的 方法 。 下 面 我 们 来 举例 说 明 一 下 在 Playbook 是 怎么 设置 变量 的 。 


在 Playbook 中 ， 最 常见 的 定义 变量 的 方法 是 使 用 vars 代 码 块 。 如 Playbook 内 容 如 下 : 


# Prints "Variable "foo' is set to bar". 
- debug: msg="Variable 'foo' is set to {{ foo }}" 


同时 ， 变 量 的 定义 也 可 以 在 一 个 独立 的 文件 中 完成 ， 当 要 使 用 时 ， 在 Playbook 中 使 用 vars files 代 码 块 来 引用 这 个 文件 ， 来 看 个 例子 。 


Playbook 文 件 内 容 如 下 : 


— hosts: example 
vars files: 
= vars.yml 
tasks: 
- debug: msg="Variable 'foo' is set to {{ foo }}" 


定义 变量 的 独立 文件 vars.ym| 的 内 容 如 下 : 


foo: bar 


上 例 中 使 用 了 vars files 代 码 块 来 调用 独立 文件 vars.yml， 并 且 能 成 功 读 取 其 中 定义 的 变量 。 
Os 


有 读者 可 能 已 经 注意 到 ， 在 vats.yml 文 件 中 ， 定 义 变 量 的 代码 是 项 格 写 的 。 这 就 是 当 变 量 被 独立 出 来 定义 时 的 一 个 特殊 之 处 ， 即 当 在 独立 文件 中 定义 变量 时 ， 变 量 可 在 YMAL 中 顶 格 进行 定义 ， 也 不 需要 


vars 的 标识 。 


利用 Ansible 的 内 置 环境 变量 (即使 用 setup 模 块 可 以 查看 到 的 变量 ) ， 我 们 还 可 以 实现 变量 配置 文件 的 有 条 件 导 入 。 


我 们 来 看 以 下 的 应 用 场景 : 现在 生产 环境 中 有 多 台 主 机 ， 分 别 安装 了 CentOS 系 统 和 Debian 系 统 ， 同 时 我 们 为 两 套 系统 设置 了 两 个 变量 定义 文件 : apache_CentOS.yml 和 和 apache_default.yml， 里 面 同 
时 定义 了 同一 个 变量 apache， 在 apache_CentOSs.yml 文 件 中 定义 为 apache: httpd， 在 apache_default.ym|I 文 件 中 定义 为 apache: apache2， 这 样 我 们 就 实现 了 同一 个 Playbook 可 以 针对 不 同系 统 环 境 
实施 不 同 的 操作 的 效果 。Playbook 内 容 如 下 : 


- hosts: example 
vars files: 
- [ "apache {{ ansible os family }}.yml", "apache default.yml" ] 
tasks: 
- service: name={{ apache }} state=running 


在 执行 Playbook 的 过 程 中 ，Ansible 会 主动 读 取 远 程 主机 的 Factor 信 息 ， 从 而 获取 远程 主机 的 ansible_ os family 的 值 ， 并 在 vars files 代 码 块 读 取 该 值得 到 对 应 名 称 的 变量 定义 文件 ， 如 果 没 有 匹配 到 合 
适 的 文件 名 ， 将 默认 读 取 apache_default.yml 中 的 设 定 。 


5.3.2 ”在 Inventory 文 件 中 定义 变量 


在 Ansible 中 ，Inventory 文 件 通 常 是 指 Ansible 的 主机 和 组 的 定义 文件 Hosts (默认 路 径 为 /etc/ansible/hosts， 简 称 Hosts 文 件 ) 。 在 Hosts 文 件 中 ， 变 量 会 被 定义 在 主机 名 的 后 面 或 组 名 的 下 方 ， 如 下 
面 这 个 例子 所 示 : 


# 为 某 台 主机 指定 变量 ， 作 用 范围 仅 限 于 当 台 主机 
[shanghai] 

appl .example.com proxy_state=present 
app2 .example.com proxy state=absent 

# 为 主机 组 指定 变量 ， 作 用 范围 为 整个 主机 组 
[shanghai :vars] 

cdn_host=sh. static.example.com 
api_version=3.0. 


在 Inventory 文 件 中 直接 定义 变量 方法 虽然 简单 直观 ， 但 当 所 需要 定义 的 变量 多 ， 并 且 在 被 多 台 主 机 同时 应 用 的 时 候 ， 这 种 方法 就 会 显得 非常 麻烦 。 而 且 ， 事 实 上 ，Ansible 的 官方 手册 中 也 并 不 建议 人 
们 把 变量 直接 定义 在 Hosts 文 件 中 。 


在 执行 Ansible 命 令 时 ，Ansible 默 认 会 从 /etc/ansible/host vars/ 和 /etc/ansible/group_vars/ 两 个 目录 下 读 取 变 量 定义 ， 如 果 /etc/ansible 下 面 没有 这 两 个 目录 ， 可 以 直接 手动 创建 ， 并 且 可 以 在 这 两 
个 目录 中 创建 与 Hosts 文 件 中 主机 名 或 组 名 同名 的 文件 来 定义 变量 。 


举例 来 说 ， 我 们 现在 要 给 主机 app1.example.com 设 置 一 组 变量 ， 那 就 可 以 直接 在 /etc/ansible/host vars/ 目 录 下 创建 一 个 名 为 app1.example.com 的 空白 文件 ， 然 后 在 文件 中 以 YAML 语 法 来 定义 所 需 
的 变量 ， 如 以 下 代码 所 示 : 


foo: bar 
baz: qux 


如 此 一 来 ， 变 量 foo 和 baz 将 自动 定义 给 主机 app1.example.com。 


同 理 ， 要 想 针对 整个 hanghai 主 机 组 定义 一 些 变量 ， 则 只 需 在 /etc/ansible/group_vars/ 目 录 下 创建 与 主机 组 同名 的 YAML 文 件 来 定义 变量 就 可 以 了 。 


在 5.3.1 节 中 ， 最 后 一 个 例子 应 用 变量 的 方式 与 这 个 例子 中 的 方式 非常 相似 ， 朋 友 们 可 以 将 二 者 进行 比较 ， 以 便于 理解 。 


5.3.3 ”注册 变量 


注册 变量 ， 其 实 就 是 将 操作 的 结果 ， 包 括 标准 输出 和 标准 错误 输出 ， 保 存 到 变量 中 ， 然 后 再 根据 这 个 变量 的 内 容 来 决定 下 一 步 的 操作 ， 在 这 个 过 程 中 用 来 保存 操作 结果 的 变量 就 叫 注册 变 量 。 我 们 在 
Playbook 中 使 用 register 来 声明 一 个 变量 为 注册 变量 。 


在 第 4 章 中 ， 我 们 就 曾 使 用 register 来 声明 注册 变量 来 保存 命令 运行 结果 ， 然 后 用 其 来 判断 是 否 需要 启动 Nodejs， 再 来 回顾 一 下 那 段 代码 : 


一 name: 获取 正在 运行 的 Node.js app 列 表 
command: forever list 
register: forever list 
changed when: false 
- name: 局 动 Node.js app 
command: forever start {{ node apps location }}/app/app.js 
when: "forever list.stdout.find('{{ node apps_ location}}/app/app.js') 一 -1" 


在 这 段 代码 中 ， 我 们 使 用 Python 内 置 的 字符 串 的 find 方 法 来 查找 appjjs 的 路 径 ， 如 果 没 找到 ， 程 序 就 会 自动 启动 Nodejs。 


我 们 将 会 在 5.4.2 节 继续 深入 讨论 register 的 更 多 用 法 。 


5.3.4 “使 用 高 阶 变量 


对 于 普通 变量 ， 例 如 由 Ansible 命 令 行 设 定 的 、 在 Hosts 文 件 中 定义 的 ， 再 或 者 在 Playbook 和 变量 定义 文件 中 定义 的 ， 这 些 变量 都 被 称 为 简单 变量 或 普通 变量 ， 我 们 可 以 直接 在 Playbook 中 使 用 双 大 括 
号 加 变量 名 来 读 取 变 量 内 容 ， 形 如 {fvariable}j}j。 比 如 下 面 的 例子 : 


- command: /opt/my-app/rebuild {{ my_environment }} 


当 Playbook 运 行 这 段 命令 时 ， 变 量 my_evnironment 将 会 自动 被 蔡 换 为 其 所 对 应 的 变量 内 容 。 


Ansible 中 除了 这 些 普通 变量 之 外 ， 还 有 数组 变量 或 者 叫 列表 变量 。 由 于 Ansible 是 基于 Python 语言 开发 的 ， 所 以 我 们 这 里 就 称 之 为 列表 。 列 表 的 定义 方法 如 下 : 


foo list: 
一 one 
— two 
- three 


列表 定义 完成 后 ， 要 读 取 其 中 第 一 个 变量 ， 有 以 下 两 种 方法 : 


foo[0] 
foolfirst 


像 foo[0] 这 种 读 取 列 表 变 量 的 方法 是 典型 的 Python 语法 格式 ，0 表 示 第 1 个 元 素 ，1 表 示 第 2 个 元 素 ， 依 此 类 推 。 第 2 种 方法 foolfirst 则 采用 的 是 jinja2 语 法 ， 这 种 读 取 变 量 的 方法 相对 较 麻烦 ， 且 使 用 频率 
不 高 ， 这 里 不 再 进行 深入 讲解 。 推 荐 大 家 使 用 第 1 种 读 取 变 量 方法 。 


接 下 来 我 们 将 介绍 另外 一 种 更 为 复杂 的 变量 ， 它 类 似 于 Python 中 字典 的 概念 ， 但 比 字典 的 维度 要 高 ， 更 像 是 二 维 字典 。Ansible 内 置 变量 ansible_eth0 就 是 这 样 一 种 变量 ， 它 用 来 保存 远程 主机 上 面 
eth0 接 口 的 信息 ， 包 括 IP 地 址 和 子 网 掩 码 等 。 下 面 我 们 使 用 debug 模 块 来 展示 一 下 变量 ansible_eth0 的 内 容 。 


tasks: 
- debug: var=ansible eth0 


运行 包含 该 内 容 的 Playbook 后 ， 这 段 代 码 对 应 的 输出 结果 如 下 所 示 : 


TASK: [debug var=ansible@ ethO] ** 太 炎炎 六 交大 炎炎 六 炎 交 次 克 交 交 炎 交 类 光 闪闪 交大 六 大 交大 太 六 交大 
ok: [webserver] => { 全 
"ansible eth0": { 
"active": true, 
"device"; "ethO", 
"ipv4": { 
address"™s "10.0.2.15™" 
"netmask": "255.255.255.0", 
"network": "10.0.2.0" 


"module": "el1000"， 


我 们 可 以 看 到 ， 这 段 输出 中 ， 从 第 3 行 开始 ， 都 是 变量 ansible_eth0 的 内 容 ， 可 以 说 是 一 个 内 容 庞大 的 变量 了 。 当 我 们 想 要 读 取 其 |Pv4 地 址 时 ， 可 使 用 如 下 两 种 方法 实现 : 


{ ansible eth0.ipv4.address }} 


{ 
{{ ansible eth0['ipv4']['address'] }} 


由 此 我 们 可 以 看 出 ，Ansible 中 多 级 变量 的 调用 ， 使 用 中 括号 和 点 号 都 是 可 以 的 。 


5.3.5 ”主机 变量 和 组 变量 


Ansible 为 用 户 提供 了 用 于 批量 定义 主机 的 管理 文件 ， 即 Hosts 文 件 ， 默 认 存放 位 置 是 /etc/ansible/hosts。 有 了 这 个 文件 ,我 们 可 以 非常 便捷 地 在 里 面 为 主机 分 组 ， 极 大 地 简化 了 多 主机 的 操作 。 


在 Hosts 文 件 中 ,我 们 使 用 如 下 格式 定义 主机 组 : 


[group] 
host1 
host2 


为 每 个 主机 定义 自己 专属 变量 最 直接 、 最 简单 的 方法 就 是 : 在 Hosts 文 件 中 ， 在 对 应 主机 名 的 后 面 直接 定义 。 如 下 所 示 : 


[group] 
host1 admin user=jane 
host2 admin user=jack 
host3 


这 样 我 们 就 为 host1 和 host2 分 别 定义 的 一 个 变量 ，host3 主 机 则 无 法 使 用 该 变量 。 


如 果 要 对 整个 主机 组 设置 变量 ， 则 采用 如 下 方法 : 


[group:vars] 
admin user=john 


这 样 一 来 ， 变 量 将 会 对 主机 组 group 下 面 的 所 有 主机 生效 ， 就 相当 于 给 


下 的 每 一 台 主机 分 别 定义 了 一 次 变量 admin_user。 


以 上 定义 主机 变量 和 主机 组 变量 的 方法 ， 在 主机 或 主机 组 数量 较 少 的 情况 下 非常 方便 有 效 。 但 当 我 们 要 为 非常 多 的 主机 和 主机 组 分 别 设置 不 同 的 变量 时 ， 这 种 方法 就 会 显得 比较 笨拙 。 


1.group_vars 和 和 host vars 


Ansible 在 运行 任务 前 ， 都 会 搜索 与 Hosts 文 件 同一 个 目录 下 的 两 个 用 于 定义 变量 的 目录 : group_vars 和 host_vars。 


我 们 可 以 在 这 两 个 目录 下 放 一 些 使 用 YAML 语 法 编辑 的 定义 变量 的 文件 ， 并 以 对 应 的 主机 名 和 主机 组 名 来 命名 这 些 文件 ， 这 样 在 运行 Ansible 时 ，Ansible 会 自动 去 这 两 个 目录 下 读 取 针 对 不 同 主机 和 主 
机 组 的 变量 定义 。 我 们 可 以 通过 下 面 的 例子 来 加 深 一 下 理解 。 


1) 对 主机 组 group 设 置 变量 。 


# File: /etc/ansible/group vars/group 
admin user: john 


2) 对 主机 host1 设 置 变 量 。 


# File: /etc/ansible/host vars/hostl 
admin user: jane 


除 此 之 外 ,我们 还 可 以 在 group_vars 和 host_vars 两 个 文件 夹 下 定义 all 文 件 ， 来 一 次 性 地 为 所 有 的 主机 组 和 主机 定义 变量 。 


2: 巧 妙 使 用 主机 变量 和 组 变量 


有 些 时 候 ， 我 们 在 运行 Ansible 任 务 时 ， 可 能 需要 从 一 台 远 程 主机 上 获取 另 一 台 远 程 主机 的 变量 信息 ， 有 一 个 神奇 的 变量 hostvars 可 以 帮 有 我 们 实现 这 一 需求 。 变 量 hostvars 包 含 了 指定 主机 上 所 定义 的 所 


有 变量 。 


比如 ， 我 们 想 获取 host1 上 的 变量 admin_user 的 内 容 ， 在 任意 主机 上 直接 使 用 下 面 这 行 代码 即 可 。 


{{ hostvars['host1']['admin user'] }} 


Ansible 提 供 了 一 些 非常 有 用 的 内 置 变量 ， 这 里 我 们 列举 几 个 常用 的 。 
“ groups: 包含 了 所 有 Hosts 文 件 里 主机 组 的 一 个 列表 。 
“ gtroup_names: 包含 了 当前 主机 所 在 的 所 有 主机 组 名 的 一 个 列表 。 
“ inventory_hostname: 通过 Hosts 文 件 定义 主机 的 主机 名 (与 ansible_home 不 一 定 相 同 ) 。 
“ inventory_hostname_short: 变量 inventory_hostname 的 第 1 部分， 比如 inventory_hostname 的 值 是 books.ansible.com， 那 么 inventory_hostname_short 就 是 books。 


* play_hosts: 将 执行 当前 任务 的 所 有 主机 。 


5.3.6 ”Facts (收集 系统 信息 ) 


1.Facts 信 息 


在 运行 任何 一 个 Playbook 之 前 ，Ansible 默 认 会 先 抓 取 Playbook 中 所 指定 的 所 有 主机 的 系统 信息 ， 这 些 信息 我 们 称 之 为 Facts。 或 许 你 已 经 注意 到 ， 在 之 前 我 们 运行 的 所 有 Playbook 任 务 中 ， 都 会 出 现 
类 似 下 面 代码 的 内 容 : 


ansible-playbook playbook.yml 


PLAY 【grOUIP] * 洲 淡淡 交火 交 六 炎炎 次 交 交 交大 炎炎 次 交 次 闪光 太太 类 炎 次 交 次 站 太太 闪光 次 次 交大 炎炎 次 六 六 关 炎 关 闪闪 
GATHERING FACTS * 炎 淡淡 类 六 交 关 六 交火 交 六 类 痰 次 六 次 交 次 交大 炎 次 六 炎 次 内 六 交 闪 类 大大 类 交 大 类 次 次 六 交 闪 奖 交 大 类 交大 类 交 闪 关 交办 


ok: [host1] 
ok: [host2] 
ok: [host3] 


下 一 步 任务 ,或 者 将 这 些 信息 写 入 某 个 配置 文件 中 。 


Facts 信 息 包括 (但 不 仅 限 于 ) 远程 主机 的 CPU 类 型 、IP 地 址 、 磁 盘 空 间 、 操 作 系统 信息 以 及 网 络 接口 信息 等 ， 这 些 信息 对 于 Playbook 的 运行 至 关 重要 。 我 们 可 以 根据 这 些 信息 来 决定 是 否 要 继续 运行 


我 们 可 以 使 用 setup 模 块 来 获取 对 应 主机 上 面 的 所 有 可 用 的 Facts 信 息 。 比 如 : 


ansible munin -m setup 


运行 结果 如 下 : 


munin.midwesternmac.com | success >> { 
"ansible facts": { 
"ansible all ipv4 addresses": [ 
"167.88.120.81" 

]， 
"ansible all ipv6 addresses": [ 

"2604:180: :a302:9076", 

[http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15935/0EBPS/Text/... 


在 某 些 用 不 到 Facts 信 息 的 Playbook 任 务 中， 我 们 可 以 在 Playbook 中 设置 gather facts: no 来 暂时 让 Ansible 在 执行 Playbook 任 务 之 前 跳 过 收集 远程 主机 Facts 信 息 这 一 步 ， 这 样 可 以 为 任务 节省 几 秒 钟 


的 时 间 ， 如 果 主机 数量 多 的 话 ， 就 能 节省 更 多 的 时 间 。 在 Playbook 中 设置 gather_facts 的 方法 如 下 : 


- hosts: db 
gather facts: no 


在 实际 应 用 当中 ， 运 用 得 比较 多 的 Facts 变 量 有 ansible os family、ansible_hostname、ansible_memtotal_mb 等 ， 这 些 变 量 通常 会 被 拿 来 用 作 when 语 句 的 判断 条 件 ， 来 决定 下 一 步 的 操作 。 
op 
如 果 远 程 主机 上 安装 了 Facter 或 Ohai， 那 么 Ansible 将 会 把 这 两 个 软件 所 生成 的 Facts 信 息 也 给 收集 回来 ，Facts 变 量 名 分 别 以 facter_ 和 ohai_ 开 头 进 行 标示 。 如 果 你 的 环境 中 还 有 Puppet 或 者 Chef 等 管理 工具 ， 


那么 你 也 可 以 使 用 Ansible 便 捷 地 获取 它们 的 Facts 信 息 。 但 是 ， 通 常情 况 下 ，Ansible 自 己 的 Facts 变 量 就 已 经 足够 满足 需求 了 。 


Playbook 在 不 同 的 操作 系统 上 获取 到 的 Facts 变 量 的 格式 是 不 一 样 的 ， 这 一 点 在 使 用 的 过 程 务必 多 加 注意 。 


2. 本 地 Facts 变 量 


下 面 我 们 介绍 一 种 在 远程 主机 本 地 定义 Facts 变 量 的 方法 。 


我 们 可 以 把 需要 定义 的 变量 写 进 一 个 以 .fact 结 尾 的 文件 中 ， 这 个 文件 可 以 是 JSON 文 件 或 INI 文 件 ,或 者 是 一 个 可 以 返回 JSON 代 码 的 可 执行 文件 。 然 后 将 其 放置 在 /etc/ansible/facts.d 文 件 夹 
中 ，Asnible 在 执行 任务 时 会 自动 到 这 个 文件 夹 下 读 取 变量 信息 。 


比如 ， 我 们 在 远程 主机 上 创建 了 一 个 .fact 文 件 /etc/ansible/facts.d/settings.fact， 文 件 内 容 如 下 : 


[users] 
admin=jane, john 
normal=jim 


接 下 来 ， 使 用 setup 模 块 就 可 以 读 取 到 这 两 个 变量 ， 如 下 所 示 : 


ansible hostname -m setup -a "filter=ansible local™ 
munin.midwesternmac.com | success >> { 
"ansible facts": { 
"ansible local": { 
"settings": { 


"admin": "jane,john", 
rnormal": wjim" 


1 
"changed": false 


如 果 在 一 个 Playbook 中 ， 只 有 部 分 Playbook 任 务 用 到 了 远程 主机 自 定义 的 本 地 Facts， 那 么 我 们 可 以 使 用 下 面 一 段 代 码 来 明确 地 指明 只 显示 这 些 本 地 Facts。 


一 name: 重新 获取 本 地 Facts 
setup: filter=ansible local 


Os 


定义 本 地 Facts 的 方法 通常 作为 一 种 临时 的 定义 变量 的 手段 ， 我 们 还 是 建议 将 变量 集中 定义 在 Asnsible 服 务 器 端 集 中 管理 。 但 是 在 某 些 特殊 情况 下 ， 比 如 远程 主机 的 系统 环境 经 常 发 生变 化 ， 我 们 就 需要 
在 /etc/ansible/facts.d 下 使 用 脚本 文件 来 动态 地 生成 Facts 变 量 。 其 他 大 部 分 情况 下 ， 都 建议 将 变量 以 各 种 形式 集中 定义 在 Ansible 服 务 器 端 。 


Os 


setup 模 块 的 filter 功 能 ， 目 前 暂 不 支持 Windows 系 统 。 


5.3.7 Ansible 加 密 模 块 Vault 


这 些 数据 有 可 能 是 管理 员 密 码 、SSH 私 钥 或 远程 主机 的 认证 信息 。 


他 敏感 数据 


当 我 们 使 用 Ansible 完 全 自动 化 地 维护 我 们 的 服务 器 的 时 候 ， 在 运行 某 些 任务 时 ， 不 可 避免 地 会 接触 到 一 些 密码 或 


当 我 们 把 这 些 数据 存放 在 普通 的 变量 文件 或 Hosts 文 件 中 时 ， 如 果 整 个 项 目 被 复制 迁移 ， 这 些 数据 将 很 容易 被 其 他 人 接触 ， 造 成 安全 风险 。 所 以 ， 对 于 这 些 敏 感 数据 ， 我 们 应 该 特殊 对 待 。 


通常 我 们 使 用 下 面 两 种 方法 对 敏感 数据 进行 管理 : 


1) 文件 密码 管理 工具 ， 如 HashiCorp 的 Vault 和 Square 的 Keywhiz， 或 者 使 用 主机 提供 商 的 服务 ， 如 亚马逊 的 Key Management Service (KMS) 和 微软 Azure 的 Key Vault。 


2) Ansible 自 带 的 Vault 加 密 功能 ，Vault 可 以 将 经 过 加 密 的 密码 和 敏感 数据 同 Playbook 存 储 在 一 起 。 


对 于 大 部 分 的 Ansible 项 目 来 说 ，Ansible 自 带 的 Vault 功 能 都 能 满足 需求 。Ansible Vault 的 工作 方式 与 现实 生活 中 的 保险 柜 的 工作 方法 很 像 。 
“ 我 们 可 以 把 Ansible 任 务 中 用 到 的 任意 文件 放 入 Vault 保 险 柜 中 。 
“ Ansible Vault 会 使 用 密码 来 加 密 这 些 文件 ， 与 用 钥匙 把 保险 柜 的 门 锁 起 来 一 样 。 
“ 我 们 把 密码 (钥匙 ) 保存 在 一 个 只 有 我 们 自己 知道 或 都 有 权 访 问 的 地 址 ， 与 Playbook 独 立 分 开 存 储 。 


“ 在 我 们 需要 运行 Playbook 的 时 候 ， 我 们 拿 出 密码 (钥匙) ， 解 密 敏 感 数据 (打开 保险 柜 门 ， 拿 出 数据 ) ， 就 能 正常 执行 Playbook 任 务 了 。 


接 下 来 ， 我 们 通过 一 个 实例 来 了 解 一 下 这 个 过 程 。 下 面 一 段 Playbook 代 码 使 用 API key 的 方式 来 访问 一 个 服务 的 APl， 


- hosts: appserver 
vars files: 
= vars/api_key.yml 
tasks: 
- name: Connect to service with Our API key. 
command: connect to service 
environment: Ee 
SERVICE API KEY: "{{ myapp_service api key }}" 


本 例 中 ， 用 于 命令 验证 的 API key 就 存储 在 一 个 纯 文本 文件 vars/api_key.yml 中 ， 内 容 如 下 : 


myapp_service api key: “yJJvPqhqgxyPZMispRycaVMBmBWPqYDf3DFanPxAMAmAUZcCw" 


这 种 将 key 存 储 在 纯 文本 文件 中 的 做 法 非常 便捷 ， 但 是 并 不 安全 。 如 果 我 们 使 用 Ansible Tower 和 Jenkins 等 工具 来 运行 Playbook, 或 者 Playbook 在 一 个 共享 的 环境 中 时 ， 这 种 存储 key 的 方法 就 更 不 可 
取 。 或 许 我 们 有 非常 严格 的 主机 操作 和 系统 安全 规范 ， 但 是 我 们 并 不 能 保证 每 一 位 开发 者 或 管理 员 都 能 严格 遵守 ， 人 通常 是 整个 环节 中 最 不 稳定 的 因素 。 


Ansible Vault 可 以 为 我 们 提供 非常 高 的 安全 加 密级 别 ， 这 将 很 好 地 帮 我 们 解决 后 顾 之 忧 。 


使 用 如 下 命令 ， 可 以 利用 Vault 给 文件 加 密 : 


$ ansible-vault encrypt api key.yml 
Vault password: 


按 提示 输入 加 密 密 码 ， 文 件 就 会 被 加 密 。 此 刻 ， 当 我 们 再 次 打开 文件 api_key.yml， 会 看 到 下 面 的 内 容 : 


SRANSIBLE VAULT;1.1;AES256 
653635363963663439383865313262396665353063663839616266613737616539303 
530313663316264336133626266336537616463366465653862366231310a30633064 
633234306335333739623661633132376235666563653161353239383664613433663 
1303132303566316232373865356237383539613437653563300a3263386336393866 
376535646562336664303137346432313563373534373264363835303739366362393 
639646137656633656630313933323464333563376662643336616534353234663332 
656138326530366434313161363562333639383864333635333766316161383832383 
831626166623762643230313436386339373437333830306438653833666364653164 
6633613132323738633266363437 


Doo amwmewmP 


上 


除了 encrypt 选 项 之 外 ， 关 于 ansible-vault 命 令 有 几 个 比较 常用 的 选项 ， 列 举 如 下 。 


edit: 用 于 编辑 ansible-vault 加 密 过 的 文件 。 
:rekey: 重新 修改 已 被 加 密 文 件 的 密码 。 
“ create: 创建 一 个 新 文件 ， 并 直接 对 其 进行 加 密 。 
:view: 查看 经 过 加 密 的 文件 。 
“ decrypt: 解密 文件 。 
Oi 
以 上 所 有 选项 都 可 以 在 后 面 跟 多 个 文件 进行 操作 ， 比 如 : ansible-vault create x.yml y.yml z.yml。 


除了 手动 输入 密码 进行 解密 以 外 ，Ansible 还 提供 了 以 密码 文件 的 形式 来 解密 的 认证 方式 ， 这 类 似 于 SSH 的 密 钥 认 证 。SSH 将 密 钥 放 于 ~/.ssh 目 录 下 面 ，Ansible Vault 将 密码 文件 放置 于 ~/.ansible/， 对 
于 这 个 文件 也 必须 有 严格 的 权限 控制 ， 需 设置 其 权限 为 600。 现 在 我 们 可 以 在 ~/.ansible/ 目 录 下 创建 一 个 权限 为 600 的 纯 文本 文件 vault_pass.txt， 并 写 入 我 们 的 Vault 密 码 ， 使 用 如 下 命令 就 可 非 交 互 式 地 使 
被 加 密 过 的 Playbook 运 行 任务 了 。 


$ ansible-playbook test.yml --vault-password-file ~/.ansible/vault pass.txt 


我 们 也 可 以 使 用 可 执行 脚本 来 生成 单行 的 Vault 密 码 ， 比 如 ~/.ansible/vault_pass.py， 前 提 是 该 脚本 只 能 生成 一 行 密 码 数 据 。 


如 果 系 统 上 通过 pip install cryptography 命 令 安装 了 Python 的 cryptography 模 块 ， 那 么 这 将 会 加 快 Vault 的 运行 速度 。 
Oi 


你 是 否 对 Ansbile Vault 的 加 密 方式 感到 担心 ? Ansible Vault 采 用 AES-256 加 密 算法 对 文件 进行 加 密 ， 这 种 算法 是 极其 安全 的 。 即 使 是 使 用 目前 世界 上 运算 速度 最 快 的 集群 来 7X24 小 时 地 解密 一 个 通过 该 算 
法 加 密 的 文件 ， 也 需要 数 十 亿 年 的 时 间 才 能 完成 破解 。 所 以 ， 安 全 算法 是 没有 问题 的 ， 我 们 要 做 的 就 是 保管 好 自己 的 Vault 加 密 密 码 。 


可 以 在 以 下 官方 文档 中 参考 更 多 的 选项 用 法 及 详细 案例 : http://docs.ansible.com/ansible/playbooks vault.html。 


5.3.8 ”变量 优先 级 


通过 本 节 对 变量 的 学 习 ， 可 能 会 有 人 问 了 ， 定 义 变量 的 方式 有 那么 多 ， 我 如 何 才能 确定 哪 一 个 定义 会 最 终生 效 呢 ? 下 面 我 们 就 来 学 习 一 下 变量 优先 级 的 问题 。 


如 果 同 样 名 称 的 变量 在 多 个 地 方 被 定义 ， 那 么 究竟 以 哪 一 次 定义 的 值 为 准 呢 ? Ansible 官 方 给 出 了 如 下 由 高 到 低 的 优先 级 排序 : 


1) 在 命令 行 中 定义 的 变量 ( 即 用 -e 定 义 的 变量 ) ， 


2) 在 Inventory 中 定义 的 连接 变量 (比如 ansible_ssh_user) ; 


3) 大 多 数 的 其 他 变量 (命令 行 转 换 、play 中 的 变量 、included 的 变量 、role 中 的 变量 等 ) ; 


4) 在 Inventory 定 义 的 其 他 变量 ; 


w 


由 系统 通过 gather_ facts 方 法 发 现 的 Facts; 


6) “Role 默认 变量 ”， 这 个 是 默认 的 值 ， 很 容易 丧失 优先 权 。 


通过 一 段 时 间 的 使 用 之 后 ， 大 部 分 人 都 会 有 自己 的 一 套 定义 变量 的 方法 或 习惯 。 下 面 我 们 总 结 一 些 变 量 定义 方面 的 小 技巧 ， 希 望 可 以 给 初学 者 提供 一 些 有 益 的 参考 。 


“ Role (下 章 将 讲 到 ) 中 的 默认 变量 应 设置 得 尽 可 能 的 合理 ， 因 为 它 优先 级 最 低 ， 以 防 这 些 亦 是 在 其 他 地 方 都 没 被 定义 ， 而 Role 的 默认 亦 是 又 定义 的 不 合理 而 产生 问题 ; 
. Playbook 中 应 尽量 少 地 定义 变量 ，Playbook 中 用 的 变量 应 尽量 定义 在 专门 的 变量 文件 中 ， 通 过 vars_fies 引 用 ， 或 定义 在 Inventory 文 件 中 ; 

" 只 有 真正 与 主机 或 主机 组 强 相关 的 变量 才 定 义 在 Inventory 文 件 中 ; 

“应 尽量 少 地 在 动态 或 静态 的 Inventory 源 文件 中 定义 变量 ， 尤 其 是 不 要 定义 那些 很 少 在 Playbook 中 被 用 到 的 变量 ; 


“ 应 尽量 避免 在 命 行 中 使 用 -e 选 项 来 定义 变量 。 只 有 在 我 们 不 用 去 关心 项 目的 可 维护 性 和 任务 震 等 性 的 时 候 ， 才 建议 使 用 这 种 变量 定义 方式 。 比 如 只 是 做 本 地 测试 ， 或 者 运行 一 个 一 次 性 的 Playbook 任 


5.4 if/then/when 一 一 流程 控制 


条 件 判 断 在 Ansible 任 务 中 的 使 用 频率 非常 高 。 有 些 任务 使 用 带 有 朝 等 性 检查 的 模块 ， 比 如 yum 和 apt 模 块 可 以 检测 软件 包 是 否 已 被 安装 ， 而 在 这 个 过 程 中 我 们 不 用 做 太 多 的 人 工 干预 。 


但 是 ， 大 部 分 的 Ansible 任 务 ， 尤 其 是 那些 需要 用 户 输入 内 容 的 shell 模 块 和 command 模 块 任务 ， 需 要 对 用 户 的 输入 内 容 或 任务 的 运行 结果 进行 判断 ， 这 个 时 候 流程 控制 就 显得 非常 重要 了 。 


本 节 涵 盖 Ansible 中 可 能 用 到 的 主要 的 条 件 判断 语句 ， 这 将 帮助 我 们 判断 一 条 任务 运行 结果 的 状态 是 成 功 还 是 失败 。 


5.4.1 Jinja2 正 则 表达 、Python 内 置 函数 和 逻辑 判断 


在 开始 讲解 不 同 的 条 件 判断 语句 的 用 法 之 前 ， 我 们 先 来 简单 介绍 一 小 部 分 Jinja2 的 语法 (Ansible 在 配置 模板 文件 和 进行 条 件 判断 时 都 会 用 到 jinja2 语 法 ) 以 及 一 些 Ansible 也 能 够 使 用 的 Python 内 置 函 


Jinja2 支 持 的 数据 类 型 有 : 字符 串 型 (如 “strings”) 、 整 数 型 (如 45) 、 浮 点 数 型 (如 42.33) 、 列 表 (如 [1，2，3，4]) 、 元 组 (与 列表 类 型 格式 一 样 ， 只 是 内 容 无 法 修改 ) 、 字 典 (如 {key: 
value，key2: value2}， 还 有 布尔 型 (如 true 或 false) 。 


Jinjia2 同 时 也 支持 基本 的 数据 运算 ， 如 加 、 减 、 乘 、 除 和 比较 (== 表 示 相等 ，! = 表示 不 相等 ，> = 表示 大 于 等 于 ， 等 等 ) 。 逻 辑 运算 符 支 持 and (与 ) 、or (或 ) 、not ( 非 ) ， 可 以 使 用 小 括号 来 对 
逻辑 运算 符 进行 分 组 使 用 。 


对 于 有 编程 经 验 的 人 士 来 说 ， 只 需要 很 短 的 时 间 便 可 对 Jinja2 这 些 基本 语法 熟悉 起 来 。 


下 面 我 们 来 看 几 个 Jinja2 的 语法 示例 。 


下 列表 达 式 的 运算 结果 都 为 'true' : 
| 

"see' in 'Can you see me?' 

foo != bar 

(1 < 2) and ('a' not in 'best') 
# 下 列表 达 式 的 运算 结果 都 为 'false' : 
4 in [1; 2r A] 

foo == bar 

(foo != foo) or (a in [1, 2, 3]) 


除 此 之 外 ，Jinja2 还 提供 了 非常 有 用 的 “test” 语 句 。 比 如 ， 我 们 可 以 使 用 如 下 语句 来 判定 变量 foo 是 否 被 定义 过 。 


foo is defined 


当 变量 foo 被 定义 过 ， 那 么 这 个 表达 式 的 结果 就 是 true， 相 反 则 为 false。 使 用 起 来 非常 直接 ， 就 与 直接 用 英文 对 话 一 样 。 类 似 的 还 有 : undefined (与 defined 相 反 ) ，equalto (与 == 等 
效 ) ，even (判断 对 象 是 否 是 偶数 ) 以 及 iterable (判断 对 象 是 否 可 迭代 ) 。 后 续 章节 中 ， 我 们 将 会 对 所 有 的 test 语 句 进行 讲解 ， 在 这 里 我 们 只 需要 了 解 Ansible 利 用 Jinja2 表 达 式 可 以 实现 非常 丰富 的 功能 就 
可 以 了 。 


在 少数 jinja2 并 不 能 发 挥 强大 功能 的 场景 中 ， 我 们 可 以 使 用 Python 的 内 置 方法 来 进行 补充 ， 比 如 : string.split 和 [number].is_signed () 等 。 


他 版 本 则 不 执行 。 这 


我 们 来 看 如 下 一 个 应 用 场景 ， 目 前 我 们 有 一 款 软件 版 本 号 为 4.6.1， 现 在 有 一 个 任务 需要 通过 判断 软件 的 版 本 号 来 确定 要 不 要 执行 接 下 来 的 任务 ， 如 果 主 版 本 号 为 4 就 执行 任务 ， 
时 ，Jinja2 表 达 式 将 不 再 适合 ， 我 们 可 以 通过 Python 的 内 置 方法 ， 使 用 点 号 “.” 来 对 版 本 号 进行 拆 分 后 取得 第 1 位 主 版 本 号 ， 然 后 用 它 与 数字 4 进行 比较 。 具 体 代 码 如 下 : 


一 name: 当 软 件 主 版 本 号 为 4 的 时 候 进行 操作 
[task herel] 
when: software version.split('.')[0] 一 '4' 


通常 我 们 建议 尽量 使 用 更 为 简洁 的 Jinja2 语 句 来 进行 判断 ， 但 是 在 涉及 变量 的 复杂 操作 时 ，Python 的 内 置 方法 还 是 不 错 的 选择 。 


5.4.2 ”变量 注册 器 register 


我 们 在 之 前 的 注册 变量 那 节 讲 过 ， 任 何 一 个 任务 都 可 以 注册 一 个 变量 用 来 存储 其 运行 结果 ， 该 注册 变量 在 随后 的 任务 中 将 像 其 他 普通 变量 一 样 被 使 用 。 


大 部 分 情况 下 ， 我 们 使 用 注册 器 用 来 接收 shell 命 令 的 返回 结果 ， 结 果 中 包含 标准 输出 (stdout) 和 错误 输出 (stderr) 。 使 用 下 面 一 段 代码 即 可 调用 注册 器 来 获取 shell 命 令 的 返回 结果 。 


- shell: my_command here 
register: my command result 


命令 结果 获取 完成 之 后 ， 可 以 使 用 注册 变量 的 stdout 方 法 来 读 取 标准 输出 的 内 容 : my_command_result.stdout; 使 用 stderr 方 法 来 读 取 标 准 输入 的 内 容 : my_-command _result.stderr。 


9 
坟 
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如 果 想 查看 一 个 注册 变量 都 有 哪些 属性 ， 那 么 在 运行 一 个 Playbook 的 时 候 ， 使 用 -v 选 项 来 检查 Playbook 的 运行 结果 ， 通 常 我 们 会 得 到 如 下 4 种 类 型 的 运行 结果 。 
“ changed: 任务 是 否 对 远程 主机 造成 的 变更 

“ delta: 任务 运行 所 用 的 时 间 

' stdout: 正常 的 输出 信息 


“stderr: 错误 信息 


5.4.3 when 条 件 判断 


很 多 任务 只 有 在 特定 条 件 下 才能 执行 ， 这 就 是 when 语 句 发 挥 作用 的 地 方 。 比 如 我 们 只 需要 在 数据 库 服务 器 上 安装 MySQL 软 件 ， 根 据 系统 种 类 来 确定 是 使 用 apt 模 块 还 是 yum 模 块 进行 软件 包 管 理 。 


我 们 来 看 一 个 例子 ， 假 设 我 们 的 所 有 服务 器 上 都 有 一 个 布尔 变量 is_db_server， 在 数据 库 服务 器 上 ， 其 值 为 true， 其 他 主机 上 值 为 false， 我 们 只 需要 在 数据 库 服务 器 上 安装 MySQL 软 件 包 ， 


- yum: name=mysql-server state=present 
when: is db server 


如 果 我 们 只 在 数据 库 服务 器 上 定义 is_db_server 变 量 ， 其 他 主机 上 没有 定义 这 个 变量 ， 这 里 我 们 就 需要 增加 一 个 判断 条 件 ， 来 判断 变量 是 否 被 定义 。 


- yum: name=mysql-server state=present 


when: (is db server is defined) and is db server 


当 when 语 句 和 注册 变量 结合 起 来 的 时 候 ， 其 功能 将 更 为 强大 。 举 例 来 说 ， 我 们 想 检查 一 个 应 用 的 运行 状态 ， 并 判断 返回 的 状态 值 ， 当 状态 为 “ready” 时 ， 再 执行 下 一 步 操作 。 任 务 代码 如 下 : 


- command: my-app --status 
register: myapp result 
- command: do-something-to-my-app 
when: "'ready' in myapp result.stdout" 


这 个 例子 稍 显 刻意 ， 但 是 它 展示 了 when 语 句 和 注册 变量 结合 的 基本 用 法 。 下 面 我 们 再 来 看 一 个 实际 生产 中 的 例子 。 


- command: my-app --status 
register: myapp result 
=- command: do-something-to-my-app 
when: "'ready' in myapp_result.stdout" 这 个 例子 稍 显 刻意 , 但 是 它 展示 了 when 语 自 和 注册 变量 结合 的 基本 用 法 。 下 面 我 们 再 来 看 一 个 实际 生产 中 的 例子 。 
From our Node.js playbook - register a command's output, then see 
if the path to our app is in the output. Start the app if it's 
not present. 
这 是 从 Node .js 项 目 中 摘 取 的 一 段 代码 ， 使 用 注册 器 保存 命令 运行 结果 ， 并 对 其 进行 判断 
command: forever list 
register: forever list 
— command: forever start /path/to/app/app. js 
when: "forever list.stdout.find('/path/to/app/app.js') 一 
# 以 下 代码 取 自 之 前 的 Node .js 安装 的 Playbook， 全 用 入 哮 生 加 着 分 信 而 搞 行 结果 ， 然后 通过 注册 变量 判断 结果 中 是 否 包含 我 们 App 的 路 径 ， 如 果 不 包 含 ， 就 启用 我 们 的 App 
when: Piling hosts 
# 如 果 所 在 的 分 支 不 在 git 的 分 支 列表 中 ， 就 运行 git-cleanup. sh 脚本 
- command: chdir=/path/to/project git branch 
register: git branches 
— command: /path/to/project/scripts/git-cleanup.sh 


1 井 井 井 间 


when: "(is app server 一 true) and ('interesting-branch' not in git branches. 
stdout)" 
# 如 果 当 前 PHP 版 本 为 7.0， 就 执行 PHP 降 级 操作 


- shell: php --version 
register: php version 

=- shell: yum -y downgrade php* 

when: "'7.0' in php version.stdout" 

如 果 远 程 主机 的 hosts 文 件 不 存在 ， 就 传 一 个 文件 file 过 去 

- stat: path=/etc/hosts 
register: hosts file 

— copy: src=path/to/local/file dest=/path/to/remote/file 
when: hosts file.stat.exists 一 false 


# 


5.4.4 ”changed when、failed_when 条 件 判 断 


与 when 语 名 类似， 我 们 可 以 使 用 changed_when 语 句 和 failed_when 语 句 对 来 对 命令 运行 的 结果 进行 判断 。 


对 于 Ansible 来 说 ， 其 很 难 判断 一 个 命令 的 运行 是 否 符合 我 们 的 实际 预期 ， 尤 其 是 当 我 们 使 用 command 模 块 和 shell 模 块 时 ， 如 果 不 使 用 changed_when 语 句 ，Ansible 将 永远 返回 changed。 大 部 分 模 
块 都 能 正确 返回 运行 结果 是 否 对 目标 主机 产生 影响 ， 我 们 依然 可 以 使 用 changed_when 语 句 来 对 返回 信息 进行 重 写 ， 根 据 任务 返回 结果 来 判定 任务 的 运行 结果 是 否 真 正 符合 我 们 预期 。 


正常 情况 下 ， 当 我 们 使 用 PHP Composer 来 安装 项 目 依赖 项 的 时 候 ， 无 论 是 否 安装 或 升级 的 某 些 软件 ，Ansible 任 务 的 返回 结果 都 是 changed。 但 是 当 我 们 使 用 changed_when 语 句 ， 并 结合 注册 变量 
对 任务 返回 结果 进行 判断 后 ， 再 来 决定 是 否 显示 状态 为 changed， 将 更 加 符合 我 们 的 实际 需求 。 比 如 : 


- name: Install dependencies via Composer. 

command: "/usr/local/bin/composer global require phpunit/phpunit --prefer-dist" 
register: composer 

Changed when: "'Nothing to install or update' not in composer.stdout™ 


由 此 我 们 可 以 看 出 ， 当 PHP Composer 安 装 或 升级 了 某 些 软 件 的 时 候 ， 也 就 是 其 运行 结果 中 不 包含 “Nothing to install or update” 字段 的 时 候 ，Ansible 才 会 返回 运行 状态 为 changed， 这 更 符合 我 
们 的 需要 。 


有 一 些 命令 会 将 自己 的 运行 结果 写 入 标准 错误 输出 stderr 中 ， 而 不 是 通常 的 标准 输出 stdout 中 ， 这 时 可 以 使 用 failed_when 来 对 结果 进行 判断 ， 从 而 告诉 Ansible 真 正 的 运行 结果 到 | 底 是 成 功 还 是 失败 。 


在 下 面 的 例子 中 ， 我 们 将 通过 判断 Jenkins CLI 命 令 的 错误 输出 来 判定 命令 是 否 真 的 运行 失败 。 代 码 如 下 : 


一 name: 通过 CLI 导 入 Jenkins 任 务 
shell: > 
java -jar /opt/jenkins- cli.jar -s http://localhost:8080/ 
create-job "My Job" < /usr/local/my-job.xml 
register: import 
failed when: "import.stderr and 'already exists' not in import.stderr" 


本 例 我 们 希望 当 命令 返回 错误 信息 并 且 返 回 的 错误 信息 中 不 包含 “already exists” 的 内 容 时 ， 再 通知 Anisble 显 示 命令 运行 失败 。 像 本 例 中 这 种 “already exists” 的 返回 信息 到 底 是 应 该 写 入 stdout 还 
是 stderr 中 ， 目 前 还 存在 争议 , 但 是 有 了 failed_when 语 句 ， 这 对 Ansible 用 户 来 说 都 一 样 。 


5.4.5 ”ignore_errors 条 件 判断 


在 有 些 情 况 下 ， 一 些 必须 运行 的 命令 或 脚本 会 报 一 些 错 误 ， 而 这 些 错误 并 不 一 定 真 的 说 明 有 问题 ， 但 是 经 常会 给 接 下 来 要 运行 的 任务 造成 困扰 ， 甚 至 直接 导致 Playbook 运 行 中 断 。 


这 时 候 ， 我 们 可 以 在 相关 任务 中 添加 ignore_errors: true 来 屏蔽 所 有 错误 信息 ，Ansible 也 将 视 该 任务 运行 成 功 ， 不 再 报错 ， 这 样 就 不 会 对 接 下 来 要 运行 的 任务 造成 额外 困扰 。 但 是 要 注意 的 是 ， 我 们 不 
应 过 度 依赖 jgnore_errors， 因 为 它 会 隐藏 所 有 的 报错 信息 ， 而 应 该 把 精力 集中 在 寻找 报错 的 原因 上 面 ， 这 样 才能 从 根本 上 解决 问题 。 


5.5 “任务 间 流 程控 制 
5.4 节 就 任务 内 部 流程 的 控制 进行 了 详细 的 讲解 。 接 下 来 ， 我 们 将 向 大 家 介绍 任务 间 流 程控 制 的 方法 。 


5.5:1 任务 委托 


默认 情况 下 ，Ansible 的 所 有 任务 都 是 在 我 们 指定 的 机 器 上 面 运行 的 ， 当 在 一 个 独立 的 群集 环境 中 配置 时 ， 这 并 没有 什么 问题 。 而 在 有 些 情况 下 ， 比 如 给 某 台 服务 器 发 送 通 知 或 向 监控 服务 器 中 添加 被 监 
控 主 机 ， 这 个 时 候 任务 就 需要 在 特定 的 主机 上 运行 ， 而 非 一 开始 指定 的 所 有 主机 。 此 时 就 需要 用 到 Ansible 的 任务 委托 功能 。 


使 用 delegate to 关键 字 便 可 以 配置 任务 在 指定 的 机 器 上 执行 ， 而 其 他 任务 还 是 在 hosts 关 键 字 配置 的 所 有 机 器 上 运行 ， 当 到 了 这 个 关键 字 所 在 的 任务 时 ， 就 使 用 委托 的 机 器 运行 。 而 facts 还 适用 于 当前 


的 host， 下 面 我 们 演示 一 个 例子 ， 使 用 Munin 在 监控 服务 器 中 添加 一 个 被 监控 主机 。 


— hosts: webservers 
tasks: 
- name: Add server to Munin monitoring configuration. 
command: monitor-server webservers {{ inventory hostname }} 
delegate to: "{{ monitoring master }}" 


由 本 例 可 以 看 出 ,我 们 虽然 在 Playbook 开 头 指定 了 操作 对 象 是 所 有 webservers， 但 是 添加 监控 对 象 这 一 任务 却 只 需要 在 监控 服务 器 上 运行 ， 所 以 我 们 就 使 用 了 delegate_to 来 指定 运行 此 任务 的 主机 。 


如 果 我 们 想 将 一 个 任务 在 Ansible 服 务 器 本 地 运行 ， 除 了 将 任务 委托 给 127.0.0.1 之 外 ， 还 可 以 全 用 local_action 方 法 来 完成 。 看 下 面 两 个 功能 一 模 一 样 的 例子 : 


—- name: Remove server from load balancer. 
command: remove-from-lb {{ inventory hostname }} 
delegate to: 127.0.0.1 
— name: Remove server from load balancer. 
local action: command remove-from-lb {{ inventory hostname }} 


将 上 述 两 个 功能 一 样 的 案例 进行 比较 记忆 ， 加 深 印象 。 


5.5.2 ”任务 暂停 


在 有 些 情 况 下 ， 一 些 任务 的 运行 需要 等 待 一 些 状态 的 恢复 ， 比 如 某 一 台 主机 或 者 应 用 刚刚 重启 ， 我 们 需要 等 待 它 上 面 的 某 个 端口 开启 ， 此 时 我 们 就 不 得 不 将 正在 运行 的 任务 暂停 ， 直 到 其 状态 满足 我 们 
需求 。 先 来 看 下 面 的 例子 : 


— name: Wait for webserver to start. 
local action: 
module: wait for 
host: webserverl 
port: 80 
delay: 10 
timeout: 300 
state: started 


本 例 中 我 们 结合 前 面 所 讲 的 local_action 方 法 和 wait for 模块 来 完成 了 任务 的 暂停 操作 。 这 个 任务 将 会 每 10s 检 查 一 次 主机 webserver1 上 面 的 80 端 口 是 否 开启 ， 如 果 超 过 300s，80 端 口 仍 未 开启 ， 将 会 
返回 失败 信息 。 


总 结 一 下 ，Ansible 的 wait_for 模 块 常用 于 如 下 一 些 场景 中 : 


: 使 用 选项 host、port、timeout 的 组 合 来 判断 一 段 时 间 内 主机 的 端口 是 否 可 用 ; 
* 使 用 path 选 项 (可 结合 search_regx 选 项 进行 正则 匹配 ) 和 timeout 选 项 来 判断 某 个 路 径 下 的 文件 是 否 存在 ; 
“ 使 用 选项 host、Port 和 stat 选 项 的 drained 值 来 判断 一 个 给 定 商品 的 活动 连接 数 是 否 被 耗 尽 ; 


“ 使 用 delay 选 项 来 指定 在 timeout 时 间 内 进行 检测 的 时 间 间 隔 ， 时 间 单位 为 秒 。 


5.6 ”交互 式 提示 


在 少数 情况 下 ，Ansible 任 务 运行 的 过 程 中 需要 用 户 输入 一 些 数据 ， 这 些 数据 要 么 比较 私密 不 方便 保存 ， 或 者 数据 是 动态 的 ， 不 同 用 户 有 不 同 的 需求 ， 比 如 输入 用 户 自己 的 账号 和 密码 或 者 输入 不 同 的 版 
号 会 触发 不 同 的 后 续 操作 等 。Ansible 的 vars_prompt 关 键 字 就 是 用 来 处 理 上 述 这 种 与 用 户 交 互 的 情况 的 。 


我 们 先 来 看 一 个 例子 : 我 们 需要 用 户 提供 自己 的 账号 和 密码 来 登录 自己 的 网 络 账户 ， 并 且 可 以 给 用 户 以 适当 的 文字 提示 。 代 码 如 下 所 示 : 


- hosts; all 
vars prompt: 
- name: share user 
prompt: "What is your network username?" 
- name: share pass 
prompt: "What is your network password?" 
private: yes 


Os 


为 了 安全 起 见 ， 命 令 行 上 面 输入 的 任何 字符 默认 都 是 不 可 见 的 。 


关键 字 vars_prompt 下 面 几 个 常用 的 选项 总 结 如 下 。 


“ private: 该 值 为 yes， 即 用 户 所 有 的 输入 在 命令 中 默认 都 是 不 可 见 的 ; 而 将 其 值 设 为 no 时 ， 用 户 输入 可 见 。 
“ default: 为 变量 设置 默认 值 ， 以 节省 用 户 输入 时 间 。 


“ confirm: 特别 适合 输入 密码 的 情况 ， 如 果 将 值 设 为 yes， 则 会 要 求 用 户 输入 两 次 ， 以 增加 输入 的 正确 性 。 


“输入 提示 ”这 种 交互 式 的 操作 方法 可 以 很 方便 地 让 用 户 输入 特定 的 信息 ， 但 是 在 大 部 分 情况 下 我 们 应 尽量 避免 使 用 这 一 功能 ， 除 非 是 在 非常 必要 时 ， 因 为 交互 操作 虽然 满足 了 用 户 的 个 性 化 需求 ， 但 
是 大 大 降低 了 Ansible 自 动 化 运 维 的 能 力 。 


5.7 Tags 标 签 


默认 情况 下 ，Ansible 在 执行 一 个 Playbook 时 ， 会 执行 Playbook 中 定义 的 所 有 任务 。Ansible 的 标签 (Tags) 功能 可 以 给 角色 (Roles) 、 文 件 、 单 独 的 任务 甚至 整个 Playbook 打 上 标签 ， 然 后 利 
些 标签 来 指定 要 运行 Playbook 中 的 个 别 任务 ， 或 不 执行 指定 的 任务 ， 并 且 它 的 语法 非常 简单 。 


由 


在 下 面 这 个 例子 中 ， 我 们 将 展示 多 种 不 同 的 打 标 签 的 方法 。 


# 可 以 给 整个 Playbook 的 所 有 任务 打 一 个 标签 
— hosts: webservers 
tags: deploy 


roles: 

# 给 角色 打 的 标签 将 会 应 用 于 角色 下 所 有 的 任务 

- { role: tomcat, tags: ['tomcat', 'app'] } 
tasks: 


- name: Notify on completion. 
local action: 
module: osx say 
msg: "{{inventory hostname}} is finished!" 
voice: Zarvox mw 
tags: 
- notifications 
= Say 
=- include: foo.yml 
tags: foo 


假设 我 们 将 上 述 代码 保存 在 文件 tags.yml 中 ， 我 们 可 以 通过 执行 下 面 ; 


及 | 
党 
如 

人 
ea 
加 


执行 “Notify on completion.” 任 务 。 


ansible-playbook tags.yml --tags " say" 


如 果 我 们 想 跳 过 带 有 “notifications” 标 签 的 任务 ， 可 以 使 用 --skip-tags 选 项 。 


ansible-playbook tags.yml --skip-tags "notifications" 


正如 我 们 所 看 到 的 ， 只 要 我 们 在 Playbook 中 打 好 完整 的 标签 ， 我 们 就 可 以 非常 方便 地 对 Playbook 中 的 众多 任务 进行 抽取 ， 有 针对 性 地 执行 任务 ， 或 者 跳 过 那些 暂时 不 需要 执行 的 任务 。 


我 们 可 以 为 一 个 对 象 添加 多 个 标签 ， 但 是 在 添加 多 标签 时 必须 使 用 YAML 列 表格 式 。YAML 列 表格 式 如 下 : 


# 最 简洁 的 写法 
tags: ['one', 'two', 'three'] 
# 最 清晰 的 写法 
tags : 
- one 
— two 
= thres 
# 不 正确 的 写法 
tags: one, two, three 


通常 情况 下 ， 笔 者 只 在 内 容 比较 多 的 Playbook 中 使 用 标签 功能 ， 尤 其 是 在 包含 了 独立 角色 或 任务 的 Playbook 中 。 在 一 些 结构 比较 简单 且 内 容量 比较 小 的 Playbook 中 ， 并 不 建议 大 量 使 用 标签 功能 ， 因 
为 这 会 在 一 定 程度 上 增加 视觉 混乱 。 当 然 这 还 要 根据 个 人 爱好 而 定 ， 找 到 适合 自己 的 标签 风格 ， 适 合 自己 的 才 是 最 好 的 。 


5.8 Block 块 


Ansible 从 2.0.0 版 本 开始 引入 了 块 功能 ， 块 功能 可 以 将 任务 进行 分 组 ， 并 且 可 以 在 块 级 别 上 应 用 任务 变量 。 同 时 ， 块 功能 还 可 以 使 用 类 似 于 其 他 编程 语言 处 理 异常 那样 的 方法 ， 来 处 理 块 内 部 的 任务 异 


常 。 


我 们 来 看 下 面 一 个 例子 。 


— hosts: web 
tasks: 


# Install and configure Apache on RedHat/CentOS hosts. 

-bloek: 
- yum: name=httpd state=present 
- template: src=httpd.conf.j2 dest=/etc/httpd/conf/httpd.conf 
- service: name=httpd state=started enabled=yes 

when: ansible os family 一 "ReqdHat' 

sudo: yes 

# Install and configure Apache on Debian/Ubuntu hosts. 

- block: 
- apt: name=apache2 state=present 
- template: src=httpd.conf.j2 dest=/etc/apache2/apache2.conf 
- service: name=apache2 state=started enabled=yes 

when: ansible os family =— 'Debian' 

sudo: yes 


在 上 例 中 ， 我 们 使 用 了 带 有 when 语 句 的 块 来 指定 在 不 同 平台 上 运行 一 组 不 同 的 安装 配置 任务 ， 我 们 可 以 看 到 ， 块 将 apt、template、service 三 个 模块 任务 包含 在 内 作为 一 个 整 块 ， 这 样 就 不 用 在 每 一 个 
模块 任务 后 都 跟 一 个 when 语 句 进行 操作 系统 的 判断 了 。 由 此 我 们 可 以 看 出 ， 块 功能 非常 适合 于 多 个 任务 共用 同一 套 任务 参数 的 情况 。 


块 功能 也 可 以 用 来 处 理 任 务 的 异常 。 比 如 有 一 个 Ansible 任 务 是 监控 一 个 并 不 太 重要 的 应 用 ， 这 个 应 用 的 正常 运行 与 否 对 后 续 的 任务 并 不 产生 影响 ， 这 时 我 们 就 可 以 通过 块 功能 来 处 理 这 个 应 用 的 报错 。 
如 下 代码 所 示 : 


Script: monitoring-connect .sh 
rescue: 
- name: 只 有 脚本 报错 时 才 执 行 
debug: msg="There Was an error in the block." 
always: 
一 name: 无 论 结果 如 何 都 执行 


debug: msg="This always executes." 


当 块 中 的 任意 任务 出 错时 ，rescue 关 键 字 对 应 的 代码 块 就 会 被 执行 ， 而 always 关 键 字 对 应 的 代码 块 无 论 如 何 都 会 被 执行 。 


如 果 你 需要 创建 一 个 健壮 可 靠 的 Playbook， 那 么 块 功能 将 是 一 个 非常 不 错 的 选择 。 但 是 ， 就 像 其 他 所 有 语言 中 的 异常 处 理 语句 一 样 ， 块 功能 的 异常 处 理 也 会 在 一 定 程度 上 将 代码 复杂 化 。 根 据 自己 的 实 
际 情况 ， 如 果 具 体 项 目 中 可 以 很 方便 地 在 每 个 任务 后 面 使 用 failed_when 语 句 来 对 异常 进行 处 理 ， 并 且 可 以 维持 盐 等 性 ， 或 者 可 以 以 别 的 方式 重 构 你 的 Playbook， 那 么 就 没有 必要 使 用 块 功能 来 处 理 任务 异 


内 


吊 。 


5.9 ”本 章 小 结 


Playbook 是 Ansible 实 现 自动 化 管理 的 最 主要 方式 。 通 过 对 本 章 内 容 的 学 习 ， 应 该 了 解 到 如 何 使 


多 ， 理 解 越 深刻 ， 那 么 将 来 在 使 用 Ansible 创 建 或 扩 
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Ru 


展 自己 的 自动 化 运 维 架构 的 时 候 ， 就 会 更 加 高 效 ， 更 加 游 思 有 余 。 


和 面 所 有 章节 介绍 的 案例 均 写 为 一 个 Playbook 文 件 ， 但 在 实际 工作 中 ， 一 个 完整 的 项 目 往往 是 很 多 功能 的 组 合体 ， 如 果 将 所 有 的 功能 写 在 一 个 Playbook 中 会 存在 问题 ， 如 : 代码 耦合 程度 高 ; 


变量 、Inventory 文 件 、Handlers、 条 件 判断 、 标 签 等 诸多 功能 。 对 这 些 Ansible 基 础 组 件 的 了 解 越 


playbooki 过 长 而 维护 成 本 巨大 ，pPlaybook 过 于 及 肿 而 缺乏 灵活 性 等 。 即 使 我 们 将 一 个 Playbook 分 割 成 多 个 小 的 Playbook 文 件 ， 但 也 无 法 从 根本 上 解决 如 上 问题 。 这 时 我 们 更 需要 考虑 的 是 我 们 使 


否 存 在 问题 。 为 解决 如 上 问题 ， 本 章 为 大 家 介绍 Ansible Playbook 高 级 语法 技巧 。 接 下 来 的 
Roles 改 造 已 有 的 Includes 代 码 ， 使 用 Templates 结 合 Jinja 生 成 配置 模板 等 。 


6.1 巧 用 Includes 


Includes 在 Ansible 中 主要 起 引 


功能 ， 其 功能 非常 强大 ， 不 仅 可 以 引 


6.1.1 Includes 使 用 场景 


有 时 ， 我 们 发 现 大 量 的 Playbook 内 容 需 要 重复 编写 ， 各 Tasks 之 间 功 能 需 相互 调用 才能 完成 各 自 功能 ，Playbook 庞 大 到 维护 困难 ， 这 时 我 们 需要 使 用 Includes。 如 图 6-1 所 示 为 Includes 使 用 场景 中 的 


案例 。 


方式 是 


Playbook 的 YML 文 件 ， 而 且 Vars、Handlers、Files 也 支持 Includes 的 引用 。 


内 容 ， 大 家 会 接触 到 Includes、Handlers、Files、Templates、Roles、Jinja、Galaxy 等 新 名 词 ， 同 时 也 会 用 


重 局 
项 项 


图 6-1 Includes 使 用 场景 


该 场景 中 共有 A、B、C、D、E、F 这 6 个 Project (项 目 ) ， 但 均 需 使 用 Restart PHP Process (重启 PHP 过 程 ) 功能 ， 此 时 ， 我 们 可 以 把 Restart PHP Process 功 能 作为 
以 方便 其 他 项 目 Includes (引用 ) ， 而 不 必 每 个 项 目 都 重新 写 Restart PHP Process 功 能 ， 这 种 场景 下 就 需要 使 用 Includes。 


我 们 一 起 看 下 具体 如 何 实现 。 


1) RestartPHPProcess.yml 的 配置 如 下 : 


虹 独 的 Playbook 文 件 独立 出 来 ， 


— hosts: phpserver # 命令 执行 对 象 为 Phpserver 的 主机 (组 ) 
remote user: root # 远程 主机 执行 用 户 为 root 
tasks: 
- name: RestartPHPProcess # 该 Task 名 为 RestartPHPProcess 
service: name=php-fpm state=restarted# 调用 service 模 块 ， 重 启 名 为 Php- 
# fpm 的 服务 


如 注释 所 示 ， 该 YML 文 件 完成 重启 php-fpm 功 能 。 


2) A Project 的 配置 如 下 : 


# This playbook deploys the whole application stack in this site. 
— hosts: localhost 
remote user: root 
tasks: 
- name: A Project command 
command: A Project command 
- name: RestartPHPProcess 
hosts: phpserver 
remote user: root 
tasks: 
- include: RestartPHPProcess.yml # 引用 RestartPHPProcess.yml 文 件 ， 
# 调用 该 文件 中 定义 的 功能 集 


该 YML 文 件 除 完成 A Project 自 身 功 能 外 ， 还 通过 Include: RestartPHPProcess.yml 调 用 该 YML 定 义 的 功能 ， 同 时 完成 php-fpm 的 重启 工作 。 


B、C、D、E、F Projects 同 样 以 如 上 Include 的 方式 来 重启 php-fpm 即 可 ， 而 不 必 每 次 都 重 写 该 功能 。 下 一 节 会 带 大 家 逐步 深入 了 解 Includes 的 使 


6.1.2 Includes 用 法 


了 解 了 Includes 的 使 用 场景 后 ， 我 们 继续 了 解 Includes 的 具体 用 法 。 本 节 我 们 使 用 的 案例 是 : Ansible 结 合 Git[1] 完 成 指定 版 本 的 拉 取 及 项 目 目录 初始 化 。 在 6.2 节 我 们 会 使 用 Roles 重 构 该 案例 ， 为 大 家 演 
示 如 何 优化 代码 框架 。Includes 在 Playbook 中 使 用 方式 很 简单 ， 格 式 也 非常 简洁 ， 请 参考 如 下 的 代码 : 


tasks: 
- include: included-playbook.yml 


其 中 ，included-playbook.yml 的 内 容 如 下 : 


- name: Add profile info for user. 


copy: 
src: example profile 
dest: "home7 username }}/.profile" # copy 功 能 模块 
owner: "{{ username }}" # copy 模 块 owner 属 性 
group: "{{ username }}" # copy 模 块 group 属 性 
mode: 0744 # copy 模 块 mode 属 性 

- name: Add private keys for user. 
copy: 


src: "{{ item.src }}" 
dest: "/home/.ssh/{{ item.dest }}" 
owner: "{{ username }}" 
group: "{{ username }}" 
mode: 0600 
with items: ssh private keys 
- name: Restart example service. 
service: name=example state=restarted # service 模 块 ， 重 启 名 为 example 的 服务 这 些 任务 负责 检 出 git 变 量 
— name: Create dir 
# file 模 块 ， 用 于 设置 文件 属性 
file: path={{ package dir }}{{ project }}-release-{{ git commit }}/{{ flag 
}}-{{ project }} owner=www group=www mode=0755 recurse=yes state=directory 
# 这 些 任务 负责 检 出 git 变 量 
- name: Git pull 
git: repo={{ repository static }} dest={{ package dir }}{{ project }}-release-{{ 
git commit }}/{{ flag }}-{{ project }} version="{{ git commit }}" force=yes # 
git 黎 块 ， 结 合 Ansible 后 用 于 自动 化 版 本 管理 
# 这 些 任务 负责 检 出 git 变 量 
- name: Git init before git pull 
command: /usr/bin/git fetch 
args: 
chdir: "{{ package dir }}{{ project }}-release-{{ git commit }}/{{ flag }}-{{ 
project }}" 
- name: Git reset 
command: /usr/bin/git reset --hard 
args: 
chdir: "{{ package dir }}{{ project }}-release-{{ git commit }}/{{ flag }}-{{ 
project }}" 
— name: Git checkout 
command: /usr/bin/git checkout {{ git commit }} 
args: 
chdir: "{{ package dir }}{{ project }}-release-{{ git commit }}/{{ flag }}-{{ 
project }}" 


在 这 个 案例 中 ，included-playbook.yml 做 了 下 面 几 件 事情 : 


四 


1) 初始 化 用 户 环境 变量 ; 


2) 添加 key 认 证 ; 


3) 重启 服务 ; 


4) 递归 初始 化 git 文 件 存放 目录 并 设置 目录 属 主 属 组 为 Www.www; 


5) Git pull 指 定 版 本 的 git 库 至 指定 目录 ; 


6) Git checkout 最 新 指定 版 本 至 指定 目录 。 


该 案例 完成 这 样 一 件 任务 : 新 安装 系统 的 服务 器 ， 初 始 化 程序 用 户 并 添加 Key 认 证， 结束 后 分 发 程序 软件 包 至 指定 目录 。 这 其 中 使 用 了 很 多 变量 ，“{ 从 ”中 的 内 容 均 为 变量 。 大 家 也 可 以 看 到 included- 
playbook.yml 中 的 内 容 非 常 多 ， 这 将 提高 代码 的 维护 难度 ， 同 时 该 配置 中 每 个 功能 块 都 可 以 独立 成 一 个 模块 ， 所 以 朋友 们 可 以 利用 Includes 再 次 分 割 。 我 们 再 做 一 些 优化 ， 将 每 个 可 高 复 用 的 功能 均 模块 
化 。 我 们 将 其 分 别 拆 分 为 如 下 几 个 文件 。 


1) user-config.yml: 完成 用 户 初始 化 工作 。 


- name: Add profile info for user. 
copy: 
src: example profile 
dest: "heme username }}/.profile" 
owner: "{{ username }}" 
group: "{{ username }}" 
mode: 0744 

- name: Add private keys for user. 
copy: 
src: "{{ item.src }}" 
dest: "/home/.ssh/{{ item.dest }}" 
owner: "{{ username }}" 
group: "{{ username }}" 
mode: 0600 
with items: ssh private keys 

- name: Restart example service. 
service: name=example state=restarted 


2) create_dir.yml: 完成 目录 初始 化 工作 。 


# 这 些 任务 负责 检 出 git 变 量 
# 


- name: create dir 
file: path={{ package dir }}{{ project }}-release-{{ git commit }}/{{ flag }}-{{ 
project }} owner=www group=www mode=0755 recurse=yes state=directory 


3) static_git_pull.yml: 完成 拉 取 git 代 码 工作 。 


# 这 些 任务 负责 检 出 git 变 量 

# 

— name: Git pull 
git: repo={{ repository static }} dest={{ package dir }}{{ project }}-release-{{ 
git commit }}/{{ flag }}-{{ project }} version="{{ git commit }}" force=yes 


4) git_checkout.yml: 完成 git 初 始 化 及 指定 版 本 拉 取 工作 。 


# 这 些 任务 负责 检 出 git 变 量 
# 
- name: Git init before git pull 
command: /usr/bin/git fetch 
args: 
chdir: "{{ package dir }}{{ project }}-release-{{ git commit }}/{{ flag }}-{{ 
project }}" 
-~ name: Git reset 
command: /usr/bin/git reset --hard 
args: 
chdir: "{{ package dir }}{{ project }}-release-{{ git commit }}/{{ flag }}-{{ 
project }}" 
=- name: Git checkout 
command: /usr/bin/git checkout {1{ git commit }} 
args: 
chdir: "{{ package dir }}{{ project }}-release-{{ git commit }}/{{ flag }}-{{ 
project }}" 


将 如 上 模块 通过 Includes 模 块 再 次 封装 ， 我 们 重 命名 新 的 Playbook 名 为 Sysinit.yml。 


5) Sysinit.yml: 完成 所 有 任务 的 调度 和 执行 工作 。 


- include: user-config.yml 
Vars: 
username: johndoe 
ssh private keys: 
=- { src: /path/to/johndoe/keyl, dest: id rsa } 
- { src: /path/to/johndoe/key2, dest: id rsa 2 } 
- include: user-config.yml 
Vars: 
username: janedoe 
ssh private keys: 
- { src: /path/to/janedoe/keyl, dest: id rsa } 
- { src: /path/to/janedoe/key2, dest: id rsa 2 } 
- include: ./create dir.yml 0. 
- include: ./static git pull.yml 
- include: ./git checkout.yml 


通过 如 上 Includes 引 用 方式 的 好 处 不 言 而 喻 : 简洁 ,干净 ， 解 厢 ， 复 用 度 高 ， 易 于 维护 。 所 以 掌握 好 Includes 很 重要 。 


Man 


6.1.3 ”动态 Includes 


我 们 已 经 看 到 Includes 功 能 的 强大 ， 不 仅 如 此 ，Ansible 还 提供 了 动态 加 载 Includes 功 能 ， 即 在 满足 一 定 条 件 时 加 载 Includes。 这 个 功能 极 大 地 提高 了 Ansible Includes 功 能 的 灵活 性 和 可 扩展 性 。 我 们 
通过 下 面 的 案例 进一步 了 解 。 


# 引用 附加 的 任务 ， 该 任务 只 在 运行 时 有 效 


— name: Check if extra tasks.yml is present. 


stat: path=extras/extra-tasks.yml # 判断 extras 目录 下 extra-tasks.yml 文件 
# 是 否 存在 
register: extra tasks file # 获取 状态 返回 值 
connection: local | 
— include: tasks/extra-tasks.yml # 结合 如 下 when 条 件 ， 只 有 当 extra tasks_ file 


# 文件 存在 时 再 加 载 include 


when: extra tasks file.stat.exists 


通过 使 用 when 条 件 判断 ，Ansible 加 强 了 Includes 对 不 确定 因素 的 处 理 机 制 ， 在 健壮 程序 代码 的 环节 中 扮演 着 重要 角色 ， 强 烈 建议 熟练 掌握 。 


6.1.4 Handler Includes 使 用 技巧 


Ansible Hanlder 结 合 Notify 思 ] 主 要 用 于 当 资 源 状态 发 生变 化 时 一 次 性 地 执行 指定 操作 。Handlers 也 支持 Includes 功 能 ， 用 法 和 Tasks 的 调用 方式 一 样 ， 只 是 要 写 在 Hanlers 区 域 。 举 个 简单 的 例子 。 


roles/logsync/handlers/ 的 目录 结构 如 下 : 


roles/logsync/handlers/ epel.yml | 一 一 main.yml | syncinstall.yml 


我 们 希望 main.yml 引 用 epel.yml 和 syncinstall.yml， 通 过 如 下 方式 即 可 实现 : 


一 include: epel.yml # 引用 epel.yml 文 件 
- include: syncinstall.yml # 引用 syncinstall.yml 文 人 


通过 如 上 方式 ， 我 们 即 实现 了 Handler 文 件 的 Includes 引 用 。 


6.1.5 “Playbooks Includes 使 用 技巧 


Ansible 同 样 允许 Playbook Include Playbook， 使 用 方式 与 Task、Handlers 一 样 ， 下 面 示例 可 供 参 考 。 


- hosts: all 
remote user: root 
tasks: 
[http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15935/0EBPS/Text/...] 
- include: web.yml # 引用 web.yml playbook 
- include: db.yml # 引用 db.yml Playbook 


通过 如 上 方式 ， 我 们 可 以 创建 一 个 主 Playbook 文 件 ， 通 过 Includes 加 载 其 他 独立 的 Playbook， 当 我 们 需要 执行 全 部 命令 时 ， 只 要 通过 一 条 命令 执行 主 Playbook 文 件 即 可 ， 如 希望 针对 某 功能 变更 ， 只 
执行 对 应 的 Playbook 文 件 即 可 。 


[由 分 布 式 版 本 控制 软件 ， 官 方 地 址 : https://git-scm.com/。 
[2] Ansible 内 置 功能 之 一 ， 结 合 Handlers 实 现 当 状 态 变 化 后 一 次 性 地 执行 指定 操作 。 


6.2 巧 用 Roles 


通过 6.1 节 的 学 习 可 知 ，Includes 使 Playbook 更 加 整洁 有 效 ， 清 晰 健壮 。 但 放眼 我 们 日 常 工 作 ， 一 个 项 目 从 开始 至 结束 不 是 简单 数 个 或 数 十 个 Playbook 就 可 以 完成 所 有 功能 ， 如 笔者 曾经 完成 的 
项 


发 布 项 目 ， 总 文件 数 达 150 个 ， 如 果 仅 通过 简单 的 Includes 不 停 地 引用 ， 那 最 终 的 结果 难以 想象 ， 恐 怕 只 能 


动 化 
案 的 空心 木 娃娃 一 个 套 一 个 组 成 ， 一 般 


俄罗斯 套 娃 (是 俄罗斯 特产 木 制 玩具 ， 一 般 由 多 个 一 样 区 


在 6 个 以 上 ) 来 形容 了 。 


需 考虑 在 内 ， 如 : 变更 指定 


机 或 


除 套 


杂 外 ， 一 些 实际 额外 业务 场景 


Roles 是 Ansible1.2 版 本 新 加 入 


机 组 ; 命名 不 规范 ， 维 护 和 传承 成 本 大 ; 某 些 功能 集 需 Includes 多 个 Playbook 方 可 实现 等 。 这 些 场景 在 企业 中 常 存在 ， 尤 
其 IT 行业 高 流动 性 的 特征 使 这 些 问题 更 显 突 出 。 有 没有 办 法 解决 这 些 问题 呢 ”Ansible Roles 不 仅 可 以 解决 这 些 问题 ， 而 且 可 以 做 到 更 多 。 


的 功能 ， 字 面 意思 是 角色 ， 大 家 可 以 理解 为 : 有 相互 关联 功能 的 集合 。 相 对 Includes 功 能 ，Roles 更 适合 于 大 项 目 Playbook 的 编排 架构 。 简 而 言 之 ，Ad-Hoc 适 用 于 临时 


命令 的 执行 ，Playbook 合 适中 小 项 目 ， 而 大 项 目 一 定 使 用 Roles。Roles 不 仅 支持 Tasks 的 集合 ， 同 时 包括 vars files、tasks、handlers、meta、templates。 
6.2.1 构建 Roles 
Roles 主 要 依赖 于 目录 的 命名 和 摆 放 ， 默 认 tasks/main.yml 是 所 有 任务 的 入 口 ， 所 以 使 


role name/ 
meta/ 
tasks/ 


每 个 目录 下 均 由 main.yml 定 义 该 功能 的 任务 集 ，tasksmain.yml 默 认 执行 所 有 指定 的 任务 。 Roles 的 调 


~ hosts; all 
roles: 
- role name 


Roles 执 行 方法 如 下 : 


ansible-playbook playbook role.yml 


Roles 目 录 可 以 摆 放 在 /etc/ansible/ansible.cfg 中 “roles_path” 定 义 的 路 径 ， 也 可 以 和 入 
以 便 管理 。 


6.2.2 ”使 用 Roles 重 构 Playbooks 


Roles 的 过 程 可 以 理解 为 目录 规范 化 命名 的 过 程 。 如 下 两 个 目录 就 可 以 构建 Ansible Roles。 


文件 playbook_role.yml 的 内 容 如 下 : 


Playbook 文 件 存放 在 同 级 目录 ，Ansible 对 此 没有 强制 要 求 。 但 建议 将 代码 存放 在 代码 集 预 先 规划 的 目录 ， 


Roles 在 企业 复杂 业务 场景 中 应 | 场景 最 多 。 本 节 我 们 通过 重 构 6.1 节 代码 ， 为 大 家 


频率 最 高 ， 适 上 


Roles 严 重 依赖 目录 命名 规则 和 目录 摆 放 ， 所 以 目录 的 命名 和 目录 摆 放 非常 重 


展示 Roles 


。6.1 节 代码 案例 使 用 Roles 重 构 后 


fab2ansible 上 group vars — al roles git files 
没有 代码 基础 的 朋友 如 果 觉 得 只 通过 代码 形容 不 大 清楚 的 话 ， 我 们 专门 整理 了 Roles 各 模块 调用 关系 ， 


法 。 


tree 命 令 返 回 的 


录 结 构 如 下 (使 


— main.yml | 六 一 tasks Create dir.yml 


体 Roles 模 块 调 


结构 如 图 6-2 所 示 。 


表示 目录 


3 上 


如 我 们 希望 调用 roles 


录 中 的 git 模 块 ， 参 考 


图 6-2 目 录 结 构 我 们 依次 自 


1) group_vars/all 文 件 : 定义 roles 变 量 , 编辑 内 容 如 下 。 


上 而 下 剖析 代码 。 


roles 


USET 


user- 
config.yml 


图 6-2 ”Roles 模 块 调 用 结构 


group_vars 


Vars 


# 以 下 列 出 的 变量 对 所 有 主机 和 组 有 效 ， 即 全 局 有 效 


flag: king 
javaflag: java 
tech: php 


svn: swn 


package dir: /srv/deploy/ 
project dir: /srv/www/ 


project: cp 


group_vars 目 录 下 的 文件 定义 Roles 中 调 


2) userconf.yml 文 件 : 设置 调用 


的 


变量 ，Roles 对 应 调用 该 目录 同名 文件 中 定义 的 变量 ， 文 件 名 为 al 的 文件 定义 的 变量 针对 所 有 Roles 生 效 。 


Roles 的 git 模 块 ， 编 辑 内 容 如 下 。 


# 该 playbook 用 于 初始 化 用 户 配置 


- hosts: localhost 
remote user: root 
roles: 

- role: git 


roles 为 关键 字 ，role: git 表 示 调 用 roles 的 git 模 块 。 如 希望 同时 调 


出 


6-2 中 的 user 模 块 ， 于 该 行 下 同 级 别 对 齐 添加 如 下 配置 即 可 。 


- role: user 


如 需 继续 添加 功能 ， 方 式 一 样 。 


3) roles/git/tasks/main.ymlI 文 件 : 设置 调 | 


git 模 块 实现 的 功能 ， 编 辑 内 容 如 下 。 


- include: create dir.yml 
- include: static git pull.yml 
- include: git checkout.yml 


通过 include 引 用 create_dir.yml、git_pull.yml 


、git_checkoutyml、git_pullyml 功 能 模块 ， 如 希望 增加 其 他 功能 模块 ， 于 该 行 下 同 级 别 对 齐 添加 如 下 配置 即 可 。 


- include: git push.yml 


4) create_dir.yml、git_checkout.yml、static_git_pull.yml 文 件 : 设置 我 们 希望 完成 的 


create_diryml 代 码 如 下 : 


体 功 


能 。 具 体 代 码 如 下 ， 部 分 代码 会 做 解释 。 


# 这 些 任务 负责 检 出 git 变 量 
# 


— name: create dir 
file: path={{ package dir }}{{ project }}-release-{{ git commit } }/{{ flag 
}}-{{ project }} owner=www group=www mode=0755 recurse=yes state=directory 


属 组 权限 为 www 


录 并 定义 目录 属 主 、 


亿 在 Ansible 中 表示 变量 引 


，create_dir.yml 要 实现 的 功能 是 递归 创建 la 


static_git_pull.yml 的 作用 是 拉 取 指定 的 git 版 本 至 指定 目录 。 代 码 如 下 : 


这 些 任务 负责 检 出 git 变 量 


井 井 


- name: Git pull 
git: repo={{ repository static }} dest={{ package dir }}{{ project }}-release-{{ 
git commit }}1/{{ flag }}-{{ project }} version="{{ git commit }}" force=yes 
git_checkout .yml 实 现 Git 项 目 初始 化 ，Checkout 最 新 代码 至 指定 目录 。 代 码 如 下 : 


这 些 任务 负责 检 出 git 变 量 


井 井 


- name: Git init before git pull 

command: /usr/bin/git fetch 

args: 
chdir: "{{ package dir }}{{ project }}-release-{{ git commit }}/{{ flag }}-{{ 
project }}" 

name: Git reset 

command: /usr/bin/git reset --hard 


chdir: "{{ package dir }}{{ project }}-release-{{ git commit }}/{{ flag }}-{{ 
project }}" > 
— name: Git checkout 
command: /usr/bin/git checkout {{ git commit }} 
args: 加 
chdir: "{{ package dir }}{{ project }}-release-{{ git commit }}/{{ flag }}-{{ 
project }}" 加 加 


部 分 建 


代码 中 chdir: 下 的 ”{{tpackage_din}” 需 要 用 双 引 号 引起 来 ， 在 Ansible 中 变量 引用 有 些 地 方 需要 使 用 双 引 用 号 而 有 些 地方 不 需要 ， 这 因为 Ansible 的 源码 是 多 人 协作 方式 编写 的 ， 所 以 变量 引 上 


git 命 令 ，git 初 始 化 后 ，checkout 最 新 代码 至 指定 目录 。 


议 大 家 多 关注 官网 最 新 变化 。git_checkout.yml 的 功能 很 简单 ， 都 是 调 


性 也 更 高 ， 变 量 的 调 


至 此 ，6.1 节 代码 改造 完毕 ， 较 Includes 而 言 ，Roles 将 功能 集 以 文件 夹 方 式 模块 化 后 ， 使 代码 更 为 整洁 ， 更 为 灵活 , 复 
复杂 度 较 高 的 项 目 中 体现 得 更 加 明显 。 


6.2.3 ”Roles 技 巧 之 Handlers: 动态 变更 


。 本 节 为 大 家 介绍 Handlers 在 Roles 中 的 使 用 技巧 。 


如 6.2.1 节 介绍 ，Roles 不 仅 支持 Tasks 调 


， 同 时 支持 vars、files、handlers、meta、templates 的 调 上 


客观 讲 ， 


方式 、Roles 的 命名 方式 等 使 其 在 架构 上 更 为 规范 化 ， 在 


”形容 不 是 很 恰当 ， 官 方 原 文 为 “Running Operations On Change”， 即 仅 当 状态 变化 时 才 会 执行 命令 。Handlers 通 常 和 Notify 搭 配 使 用 ， 当 (文件 、 进 程 、 返 回 等 ) 状态 有 变 


化 时 ，Notify 会 通过 Handlers 做 指定 的 变更 。 我 们 通过 一 个 功能 完整 的 Roles 来 整体 了 解 Vars、Files、Handlers、Meta、Templates， 然 后 逐步 深入 Roles Handlers 用 法 。 请 看 示例 example.yml: 


site.yml 

webservers.yml 

fooservers.yml 

roles/ 

common/ 
files/ 
templates/ 
tasks/ 
handlers/ 
vars/ 
defaults/ 
meta/ 
webservers/ 

files/ 
templates/ 
tasks/ 
handlers/ 
vars/ 
defaults/ 
meta/ 


example.ym| 为 大 家 展示 了 两 个 功能 齐全 的 Roles， 分 别 为 common 和 webservers， 每 个 Roles 均 包括 files、templates、tasks、handlers、vars、defaults、meta。 在 Playbooks 中 的 调 


方式 如 下 : 


— hosts: webservers 
roles: 

— common 

— webservers 


了 和 解 了 Roles 支 持 的 功能 集 和 调用 方式 后 ， 我 们 再 来 了 解 这 些 功能 集 的 含义 。 


“roles/x/tasks/main.yml: 主 函 数 ， 包 括 在 其 中 的 所 有 任务 将 被 执行 。 
“ roles/x/handlers/main.yml: 所 有 包括 其 中 的 handlers 将 被 执行 。 

“ roles/x/vars/main.yml: 所 有 包括 在 其 中 的 变量 将 在 roles 中 生效 。 
roles 所 有 依赖 将 被 正常 登入 。 


* roles/x/meta/main.yml: 


“roles/x/{files，templates，tasks}/ (dir depends on task) : 所 有 文件 、 模 板 都 可 存放 在 这 里 ， 放 在 这 里 最 大 的 好 处 是 不 用 指定 绝对 路 径 。 


接 下 来 ， 我 们 通过 如 下 案例 来 学 习 Handlers 的 应 用 场景 。 


案例 场景 : 当 Apache 的 配置 文件 发 生变 化 时 重启 Apache 进 程 。 


步骤 1: 编排 Roles 目 录 结 构 如 下 。 


roles/apache/ | handlers | -一 一 main.yml -一 一 tasks 
restatt.yml 


-一 一 main.yml 


目录 结构 需 按 要 求 编排 ， 不 得 随意 变更 名 称 。 


步骤 2: 编辑 roles/apache/handers/main.yml 的 内 容 如 下 。 


# sleep 10s 
# 


- name: restart apache 
Service: name=apache state=restarted 


该 YML 要 实现 的 功能 非常 简单 : 重启 Apache 进 程 。 


步骤 3: 编辑 roles/apache/tasks/restart.yml 内 容 如 下 。 


- name: transfer apache config 
copy: src=httpd.conf dest=/opt/apache/httpd.conf 
notify: 
- restart apache 


该 YML 功 能 为 更 新 Apache 配 置 文件 ， 如 配置 文件 有 变化 则 重启 Apache。 


步骤 4: 编辑 rolesapache/tasks/main.ymI 内 容 如 下 。 


- include: restart.yml 


步骤 5: 编辑 Roles 同 级 目录 apache.yml 文 件 ， 内 容 如 下 。 


— hosts: webserver 
remote user: root 
roles: 

- role: apache 


该 YM1L 为 总 调度 文件 ， 完 成 Apache 配 置 文 件 的 变更 和 Apache 的 重启 工作 。 


步骤 6: 执行 命令 ansile-playbook apache.yml， 验 证 结果 。 


命令 运行 结果 为 更 新 Apache 配 置 文件 ， 如 配置 文件 有 更 新 则 重启 Apache， 如 无 错误 返回 为 正常 。 


如 上 ， 我 们 即 完成 了 当 Apache 配 置 文件 有 更 新 时 才 重 启 Apache。 在 实际 工作 中 我 们 并 不 希望 随意 重启 应 用 造成 服务 中 断 ， 所 以 Handlers 非 常 有 用 。 


6.2.4 Roles 技 巧 之 Files: 文件 传输 


Files 和 Templates 均 用 于 Ansible 文 件 处 理 ， 两 者 主要 区 别 是 : Files (不 是 file 模 块 ) 目录 下 的 文件 无 需 写 绝对 路 径 即 可 将 文件 传输 至 远程 主机 ; Templates 目 录 下 的 文件 以 jinja2 演 染 ， 且 传输 文件 至 远 
程 主机 的 同时 支持 预定 义 变量 替换 。 接 下 来 我 们 看 Roles 中 Files 的 使 用 方式 。 


案例 场景 : 
将 example role 下 的 MAGEDU.PPT 和 STANLEY.PPT 两 个 文件 传输 至 远程 ， 并 修改 文件 名 为 英文 小 写 。 


步骤 1: 编排 目录 结构 如 下 。 


file.yml 
roles/example/ | 一 一 files 上 一 MAGEDU.PPT | [一 一 STANLEY.PPT | 一 一 tasks | | 六 一 file.yml 


main.yml 


步骤 2: 依次 创建 文件 MAGEDU.PPT、STANLEY.PPT。 


MAGEDU.PPT 内 容 如 下 : 


This is magedu.ppt file. 


STANLEY.PPT 内 容 如 下 : 


This is stanley.ppt file. 


步骤 3: 依次 编辑 ./file.yml、./roles/example/tasks/file.yml、./roles/example/tasks/main.yml。 


./file.yml 内 容 如 下 : 


# 该 playbook 是 整个 项 目的 调度 入 口 
— hosts: 192.168.37.142 
remote user: root 
gather facts: false 
roles: 
- role: example 


./roles/example/tasks/file.yml 内 容 如 下 : 


- name: file change example 
# copy: src=MAGEDU.PPT dest=/data/magedu.ppt owner=stanley group=stanley 
copy: src={{ item.src }} dest=/data/{{ item.dest }} owner=stanley group=stanley 
with items: 
- { src: 'MAGEDU.PPT', dest: 'magedu.ppt' } 
- { src: 'STANLEY.PPT', dest: 'stanley.ppt' } 


./roles/example/tasks/main.yml 内 容 如 下 : 


- include: file.yml 


步骤 4: 传输 文件 到 远程 主机 并 修改 文件 名 为 英文 小 写 。 


在 roles 目 录 同 级 目录 下 执行 命令 : 


ansible-playbook file.yml 


返回 结果 如 下 : 


PLAY [192.168 。 37 。 工作 2 ] 六 灾 炎炎 交 淆 交 尖 交 奖 次 尖 奖 奖 光 奖 奖 尖 内 类 次 交 关 兴 交 交 光大 闪光 闪 交 闪光 闪光 次 天 交 交 次 尖 交 交 次 洋 交 交 次 光 奖 闪 
TASK: [example | fi]e change Example] 办 办 庆 办 办 夫 夫 穴 夫 穴 夫 夫 夫 夫 夫 夫 夫 兴 兴 夫 兴 夫 夫 夫 兴 夫 夫 兴 夫 
changed: [192.168.37.142] => (item={'dest': 'magedu.ppt', 'src': 'MAGEDU.PPT'}) 
changed: [192.168.37.142] => (item={'dest': 'stanley.ppt', 'src': 'STANLEY.PPT'}) 


PLAY RECAP 六 洲 太太 大 类 六 关头 六 六 闪光 交大 关头 六 六 闪光 交火 闫 大 六 六 闫 六 闪光 闪光 六 大庆 六 关 六 庙 光 交 关 大 大 六 六 闪光 交火 大大 六 大 六 六 交 交 庙 次 交大 六 六 


192.168.37.142 : ok=1 changed=1 unreachable=0 failed=0 
没有 False 返 回 即 为 正常 。 我 们 回头 再 来 整理 下 本 次 的 执行 逻辑 ， 如 图 6-3 所 示 。 


/file.yml 


/roles/example/tasks/maimn.yml 


./roles/example/tasks/file.yml 


/roles/example/files/ 
{MAGEDU.PPT,STANLEY.PPT 


图 6-3 ”执行 远 辑 


Ansible-playbook 调 用 执行 file.yml (和 roles 目 录 同 级 的 file.yml 文 件 ) ， 随 后 根据 文件 内 容 依次 调 
-rolesexample/files{MAGEDU.PPT，STANLEY.PPT}。 此 过 程 严 重 依赖 目录 结构 及 命名 ， 请 勿 随意 更 改 目录 及 文件 名 。 


./roles/example/tasks/main.yml、./roles/example/tasks/main.yml、 


Roles 的 Files 功 能 设计 主要 针对 业务 文件 传输 需求 ， 凡 存放 于 对 应 Roles 的 Files 目 录 下 的 文件 ， 传 输 时 只 需 指 定 相对 路 径 即 可 ， 这 在 很 大 程度 上 保证 了 管理 机 故障 迁移 时 Ansible 的 健壮 性 ， 同 时 也 从 规则 


者 有 意 规范 自己 的 文件 存放 习惯 。 在 企业 中 我 们 不 仅 会 遇 到 文件 传输 的 需求 ， 对 于 应 


上 使 使 


6.2.5 “Roles 技 巧 之 Templates: 模板 替换 


的 配置 文件 ， 针 对 不 同 的 主机 需要 进行 相应 的 配置 变更 该 怎么 办 呢 ? Templates 可 以 满足 我 们 需求 。 


Templates 常 被 用 作 传输 文件 ， 同 时 支持 预定 义 变量 替换 。 因 Templates 由 jinja2 演 染 格 式 ， 所 以 介绍 Templates 前 我 们 先 来 了 解 Jinja2。 


Jinja2 是 什么 ? Jinja2 是 一 个 Python 的 功能 齐全 的 模板 引擎 。 它 有 完整 的 Unicode 支 持 ， 一 个 可 选 的 集成 沙 箱 执行 环境 ， 被 广泛 使 


， 以 BSD 许 可 证 授权 。 


人 花 括号 和 变量 名 间 需 有 空格 分 隔 ， 如 {fvariable}j}， 更 详尽 内 容 请 参考 


本 次 内 容 我 们 只 需 掌握 jinja2 读 取 变 量 的 方式 即 可 ， 关 于 jinja2 更 详细 内 容 ， 我 们 在 6.3 节 详细 介绍 。 通 常 两 个 花 括号 中 间 加 变量 名 
Jinja2 官 网 http://jinja.pocoo.org/。 我 们 结合 如 下 案例 来 进一步 了 解 Tempaltes 的 使 用 。 


为 对 应 的 值 。 


蔡 换 配置 文件 中 变 


案例 场景 : 将 orderj2 分 发 至 远程 主机 /data/{{PROJECTJV 目 录 下 ， 并 改名 为 order.conf ， 


接 下 来 我 们 逐步 实现 该 功能 。 
步骤 1: 编排 目录 如 下 。 


template.yml 
roles/template/ 
一 一 main.yml 


order.j2 vars 


tasks | template.yml | templates | 


| 一 一 main.yml 


该 目录 结构 下 ，orderj2 模 板 文件 必须 存放 于 templates 目 录 下 ，main.yml 变 量 文件 存放 于 vars 目 录 下 。template.yml 和 main.yml 任 务 执行 文件 存放 于 tasks 


步骤 2: 依次 编辑 tempates.yml (和 roles 目 录 同 级 ) 任务 总 调度 文件 。 


录 结 构 及 命名 方式 不 得 随意 变 


录 下 。 


# 该 playbook 是 整个 项 目的 调度 入 口 
-~ hosts: 192.168.37.142 
remote user: root 


gather facts: false 
roles: 
- role: template 


机 、 执 行 


户 、 调 


该 YML 文 件 是 任务 总 调 


的 roles 等 ， 相 当 于 “总 指挥 ”的 角色 。 


指定 远程 


文件 ， 


步骤 3: 依次 编辑 roles/template/tasks/{main.yml，template.yml} 王 务 定义 文件 。 


编辑 main.yml 内 容 如 下 : 


- include: template.yml 


所 需 的 功能 组 件 ， 不 仅 是 当前 


main.yml 可 通过 Include 灵 活 引 


编辑 template.yml 内 容 如 下 : 


录 下 的 YML， 也 可 以 是 其 他 Roles 下 的 YML。 


- name: tempalte transfer example 
template: src=order.j2 dest=/data/{{ PROJECT }}/order.conf 


{tPROJECT)) 的 变量 引 


步骤 4: 编辑 roles/template/templates/orderj2， 定 义 模板 文件 。 


方式 即 本 节 伊始 提 到 的 Jinja2 格 式 。 源 文件 是 orderj2， 远 程 目录 及 目的 文件 名 分 别 是 /data/{{PROJECT}M 和 order.conf。 


project: {{ PROJECT }} 
switch: {{ SWITCH }} 
Gbport: {{ DBPORT }} 


步骤 5: 编辑 roles/template/vars/main.yml， 定 义 变量 。 


PROJECT: “JAVA" 
SWITCH: "ON" 
DBPORT: "3306" 


6.3.7 我 们 会 引 


变量 的 定义 方式 和 我 们 日 常 Shell 脚 本 变量 定义 差别 不 大 ， 
步骤 6: 我 们 来 执行 命令 并 看 下 返回 及 结果 。 


执行 命令 : 


Jinja2 更 多 的 变量 定义 方式 。 


ansible-playbook template.yml 


登录 远程 主机 192.168.37.142， 检 查 文件 是 否 正 常 下 发 ， 以 及 模板 中 的 变量 是 否 被 正常 替换 。 


cat /data/JAVA/order.conf 
project: JAVA 

switch: ON 

dbport: 3306 


order.conf 内 容 如 上 表示 命令 正常 执行 。 


Roles 的 Tempalte 的 
么 办 呢 ? 6.3 节 我 们 来 为 大 家 介绍 。 


6.2.6 ”更 多 复杂 的 跨 平台 Roles 


法 及 场景 在 企业 中 尤为 常见 ， 对 配置 文件 的 下 发 及 变量 替换 有 着 极为 灵活 便利 的 支持 。 但 有 人 会 问 ， 如 果 配 置 文件 


为 环境 的 复杂 性 需 加 以 一 定 的 逻辑 才能 生成 正确 的 配置 该 怎 


Ansible 支 持 多 平台 甚至 Windows (client) 。Linux 开 源 版 本 多 ， 且 各 版 本 间 应 用 管理 、 进 程 启动 等 命令 不 尽 相 同 ， 本 节 为 大 家 介绍 Ansible 如 何 同 时 管理 多 平台 。 按 惯例 ， 我 们 在 完成 如 下 实战 场景 的 


同时 学 习 Ansible 对 跨 平台 的 支持 。 
案例 场景 : 为 Debian、RedHat 两 种 类 型 的 系统 安装 Apache 服 务 。 


步骤 1: 编辑 linventory 文 件 /etc/ansible/hosts。 


[cross-platform] 
192.168.37.162 ansible ssh user="stanley" 
192.168.37.159 


需要 注意 的 是 ，192.168.37.162 为 Debian 系 统 平台 ， 我 们 默认 使 用 非 root 用 户 ， 因 


预先 定义 执行 用 户 ， 不 然 会 因为 使 用 错误 的 用 户 而 导致 认证 失败 。 


们 需 


步骤 2: 针对 不 同 的 系统 平台 分 别 编辑 httpd_ db、httpd _rh 的 Role。 


roles/httpd_dby/tasks/fhttpd.yml，main.yml} 内 容 如 下 : 


区 
EE 


户 是 root， 所 以 我 


为 Ansible 获 取 主 机 信息 (gather facts) 是 在 执行 Tasks 前 进行 的 ， 同 时 RedHat 系 统 平台 使 


# # httpd.yml 
- name: Ubuntu install httpd 

remote user: stanley 

apt: name=mini-httpd state=present 
# # main.yml 
=- include: httpd.yml 
roles/httpd_rh/tasks/{httpd.yml，main.yml} 内 容 如 下 : 
# # httpd.yml 
- name: centos install httpd 

remote user: root 

yum: name=httpd state=latest 
# # main.yml 


- include: httpd.yml 


前 面 已 有 多 处 案例 介绍 Roles 目 录 编 排 规 则 ， 这 里 不 袭 述 。 


步骤 3: 编辑 httpd.yml 任 务 调度 文件 。 


— name: cross-flatform install httpd 
hosts: cross-platform 
roles: 
- { role: httpd db, when: ansible os family 一 'Debian' } 
- { role: httpd rh, when: ansible os family 一 'RedHat' } 


最 后 的 安装 过 程 很 简单 ， 执 行 如 下 命令 即 可 。 


ansible-playbook httpd.yml 


关于 Ansible Roles 的 使 用 我 们 就 介绍 到 这 里 ， 本 节 我 们 用 Roles 重 构 了 6.1 节 的 Include 代 码 ， 并 介绍 了 使 用 Roles 重 构 的 优势 。 在 什么 样 的 场景 下 使 用 Roles 更 佳 需要 大 家 在 平时 的 工作 中 多 加 体会 。 除 了 
Tasks 在 Roles 的 应 用 外 ， 我 们 同时 也 介绍 了 Handlers、Files、Templates 的 使 用 ， 这 些 在 平时 的 工作 中 我 们 都 会 频繁 应 用 到 ， 需 深入 掌握 。 本 节 我 们 也 提 到 Jinja 的 一 些 简单 概念 ，6.3 节 我 们 会 带 大 家 更 深入 
地 学 习 Jinja， 掌 握 了 Jinja 才 是 深入 Ansible-playbook 的 开始 。 


6.3 Jinja2 实 现 模板 高 度 自 定义 


对 于 较 简单 的 模板 变量 替换 ，6.2.5 节 内 容 已 经 可 以 满足 我 们 需求 ， 但 考虑 到 模板 代码 的 简洁 性 和 健壮 性 ， 本 节 我 们 为 大 家 介绍 Jinja2 更 多 使 用 技巧 。 首 先 ， 我 们 来 学 习 Jinja2 的 用 法 ， 它 和 Linux 系 统 自 
带 的 BASH Shell 用 法 一 样 简单 。 


6.3.1 Jinja2For 循 环 


如 6.2.5 节 介绍 ， 变 量 的 提取 使 用 {{variable}}，{%statement execution96} 括 起 来 的 内 容 为 Jinja2 命 令 执行 语句 ， 命 令 语法 如 下 : 


{ 委 for item in all items %} 
{{ item }} 
{$% endfor %} 


了 解 其 基础 用 法 后 ， 下 面 我 们 通过 具体 案例 来 进一步 掌握 Jinja For 循 环 用 法 。 


案例 场景 : 为 远程 主机 生成 服务 器 列表 ， 该 列表 从 192.168.37.201web01.magedu 开 始 ， 到 192.168.37.211web11.magedu 结 束 。 


在 该 案例 中 ， 手 工 一 条 条 添加 10 条 记录 明显 不 是 我 们 期 望 的 结果 ， 这 里 需要 用 For 循 环 通过 模板 批量 生成 对 应 的 配置 文件 。 我 们 具体 看 下 对 应 的 jinja2 文 件 该 如 何 编写 。 


{s for id in range(201,211) %} 
192.168.37.{{ id }} web{{ "%02d"|format (id-200) }}.magedu 
{%S endfor %} 


第 2 行 涉及 Python 基 础 ， 这 里 额外 解释 下 。 


{{id}} 提 取 for 循 环 中 对 应 变量 id 的 值 
"%02d" 调 用 的 是 Python 内 置 的 字符 事 格 式 化 输出 ， 然 后 将 结果 通过 管道 符 "|" 传 递 给 format 函 数 做 二 次 处 理 ，Jinja 支 持 简单 的 算法 运算 符 ， 但 不 经 常用 到 ， 这 里 format (id-200) 表示 id 的 值 减 去 200 


最 终 执行 后 结果 如 下 : 


192.168.37.201 web01.magedu 
192.168.37.202 web02.magedu 
192.168.37.203 web03.magedu 
192.168.37.204 web04.magedu 
192.168.37.205 web05.magedu 
192.168.37.206 web06.magedu 
192.168.37.207 web07 .magedu 
192.168.37.208 web08.magedu 
192.168.37.209 web09.magedu 
192.168.37.210 webl0.magedu 


和 Shell 的 For 循 环 类 似 ， 拥 有 Bash Shell 基 础 的 人 上 手 Jinja2 还 是 很 容易 的 。 同 理 ， 和 For 循 环 同等 重要 的 、 需 要 掌握 的 还 有 |f 流 判断 。 


6.3.2 Jinja2l 你 件 


同 写 Bash Shell 脚 本 一 样 ， 具 备 !f 条 件 判断 的 功能 非常 重要 。Jinja 中 |f 系 件 判断 的 使 用 格式 如 下 : 


{% if my conditional %} 
http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15935/OEBPS/Text/... 
{$s endif $%} 


我 们 通过 具体 的 案例 来 进一步 掌握 Jinja 1f 条 件 使 用 。 


案例 场景 : 生成 MySQL 配 置 文 件 ， 如 果 人 工 指定 监听 端口 则 配置 为 指定 端口 ( 预 设 1331) ， 否 则 为 默认 端口 即 3306。 


这 是 我 们 日 常 工作 中 最 常 遇 到 且 经 简化 后 的 业务 场景 了 ， 从 题 设 大 家 可 以 看 到 这 里 需要 用 到 | 借 断 ， 具 体 实现 我 们 来 看 如 下 配置 。 


步骤 1: 我 们 编排 目录 结构 如 下 。 


mysqlconf.yml 
roles/mysqlconf/ | 


templates | — myent.,j2 


该 目录 结构 中 ， 我 们 只 定义 了 Templates 而 没有 定义 Tasks，Ansible 也 支持 这 样 的 方式 ， 只 是 mysqlconf 这 个 role 的 功能 不 全 而 已 ， 但 不 影响 其 正常 使 用 。 我 们 本 次 的 Tasks 调 度 配置 在 mysqlconf.yml 
文件 中 。 接 下 来 我 们 看 该 文件 的 配置 。 


步骤 2: 配置 mysqlconf.yml， 配 置 如 下 。 


— name : Mysql conf template 
hosts % 192.168,37.142 
gather facts : no 
Vars: 
PORT: 1331 
# PORT: false 
tasks: 
- template: src=roles/mysqlconf/templates/mycnf.j2 dest=/etc/mycnf.conf.yml 


该 YML 文 件 调用 mysqlconf 这 个 role 下 的 mycnf.j2 的 tempate， 并 将 其 传输 至 远程 主机 192.168.37.142 的 /etc/ 下 后 ， 改 名 为 mycnf.conf.yml。 


步骤 3: 编辑 roles/mysqlconf/templates/mycnf.j2 模 板 文件 ， 该 配置 文件 是 我 们 本 次 |f 条 件 语句 学 习 的 重点 。 内 容 如 下 。 


{$$ if PORT %} 
bind-address=0.0.0.0:{{ PORT }} 
{% else %} 
bind-address=0.0.0.0:3306 

{% endif %} 


该 代码 含义 是 ， 如 果 变 量 PORT 被 存在 ， 则 bind-address=0.0.0.0: {{PORT 变 量 的 值 }， 否 则 ，bind-address=0.0.0.0: 3306。 


步骤 4: 我 们 来 看 下 效果 。 执 行 以 下 命令 。 


ansible-playbook mysqlconf.yml 


然后 登录 远程 主机 192.168.37.142， 若 其 内 容 如 下 ， 则 表示 正常 。 


cat /etc/mycnf.conf.yml 
bind-address=0.0.0.0:3306 


lf 的 语法 至 此 介绍 完毕 。 


6.3.3 Jinja 多 值 合并 


将 多 个 ltems 合 并 为 一 个 List 在 日 常 业务 场景 中 并 不 少见 ， 如 下 面 我 们 即将 为 大 家 介绍 的 这 个 案例 ， 除 了 业务 场景 外 ， 相 信 大 家 对 用 法 也 有 几 分 眼熟 。 


% for node in groups["db"] %} 
{ node | join("") }}:5672 

$$ if not loop.last %} 

{%S endif %} 
{% endfor %} 


这 段 代 码 因 为 涉及 Jinja 和 Ansible 的 内 置 变 量 ， 这 里 对 部 分 代码 做 一 下 解释 ， 
“第 1 行 代码 中 groups 为 Ansible 的 内 置 变量 ， 同 类 型 的 内 置 变量 如 表 6-1 所 示 。 中 括号 里 的 db 为 Inventory 文 件 中 配置 的 主机 组 。 


表 6-1 Ansible 部 分 内 置 变量 


Parameter Description 
hostvars 主机 变量 名 
inventory hostname 当前 Ansible 可 识别 的 hosts 
group names 当前 主机 的 所 属 组 


groups 字典 数组 ， 数 组 名 ， 包 括 : fall": […], "web": […], "ungrouped": […]} 


表 中 所 有 内 置 变量 均 需 了 解 其 功能 和 用 法 。 


' 第 2 行使 用 Python 内 置 join 函数 格式 化 代码 输出 。 

“ 第 3 行 loop.last 为 inja2.8 版 本 的 内 置 变量 ， 同 类 型 及 功能 如 下 。 

“ loop.index: 当前 循环 的 送 代 次 数 ( 上 默认 从 1 开始 ) 。 

“ loop.index0: 当前 循环 的 迭代 次 数 (默认 从 0 开始 ) 。 

“ looprevindex: 到 循环 结束 需要 选 代 的 次 数 〈 黑 认 从 1 开始 ) 。 
“ loop.revindex0: 到 循环 结束 需要 选 代 的 次 数 〈 默 认 从 0 开始 ) 。 
“ loop.first: 如 果 是 第 一 次 迁 代 ， 为 True。 

"loop.last: 如 果 是 最 后 一 次 欠 代 ， 为 True。 

“ loop.length: 序列 中 的 项 目 数 。 


“ loop.depth: 显示 泻 染 的 递归 循环 的 层级 数 〈 默 认 从 1 开始 ) 。 


“ loop.depth0: 显示 泻 染 的 递归 循环 的 层级 数 (默认 从 0 开始 ) 。 


.loop.cycle: 在 一 串 序 列 间 期 取 值 的 辅助 函数 。 更 详细 资料 的 请 参考 Jinja 的 官网 文档 中 。 


我 们 看 下 该 命令 执行 方式 及 结果 ， 编 排 目录 如 下 : 


join.yml 
roles/join/ 


templates | 一- 一 et] 


roles/join/templates/listj2 内 容 如 下 : 


for node in groups["db"] %} 


{% 
{{ node | join("") }}:5672 
{% if not loop.last %} 
{SS endif 务 } 
{% endfor %} 
编辑 join.yml 内 容 如 下 : 
— name : Join loop list Combining multiple values 
hosts : db 
gather facts : no 
Vars: 
PORT: 1331 
tasks: 
=- template: src=roles/join/templates/list.j2 dest=/data/list.txt 
roles: 
- { role: join } 
执行 命令 如 下 : 


ansible-playbook join.yml 


登录 远程 主机 192.168.37.142 查 看 /data/list.txt， 内 容 如 下 为 正常 。 


192.168.37:142:5672 
192.160.37:159:3672 


如 果 第 2 行 代码 变更 为 如 下 : 


{{ node | join("-") }}:5672 


那 输出 的 结果 会 是 什么 ? 留 给 大 家 自己 测试 ， 希 望 能 加 深 大 家 的 理解 。 


本 节 接 触 的 新 内 容 有 join 实 现 多 值 合 并 、jJinja 内 置 变量 loop 循 环 体 、Ansible 内 置 变 量 groups。 更 多 内 容 请 参考 Jinja 官 网 http://jinja.pocoo.org/ 和 Ansible 官 网 http://docs.ansible.com/。 


6.3.4 Jinja default () 设 定 


精通 程序 编码 的 人 皆 知 ，default () 默认 值 的 设 定 有 助 于 程序 的 健壮 性 和 简洁 性 。 所 幸 Jinja 也 支持 该 功能 ， 大 家 还 记得 6.3.2 节 生成 MySQL 配 置 文 件 中 的 端口 定义 吗 ? 如 果 指 定 则 PORT=1331， 否 则 
PORT=3306。 我 们 将 该 案例 改造 为 使 用 default () 。 


编辑 roles/mysqlconf/templates/mycnfj2， 内 容 如 下 : 


bind-address=0.0.0.0:{{ PORT | default (3306) }} 


这 种 方式 是 否 更 为 简洁 呢 ? 原来 的 5 行 代码 通过 default () ， 只 需要 一 行 就 能 实现 我 们 所 希望 的 功能 。 另 外 ， 为 了 帮助 大 家 更 好 地 掌握 default () 的 使 用 ,我 们 摘录 网 友 的 一 段 代码 供 大 家 参考 学 习 ， 
同时 大 家 也 可 以 思考 如 何 修改 优化 该 代码 。 


{% for item in NETWORK INTERFACES %} 
auto {{ item.vlan name }} 
iface {{ item.vlan name }} inet static 
address {{ item.ip net }}.{{ HOST IP OCTET }} 
netmask 255.255.255.0 
network {{ item.ip net }}.0 
broadcast {{ item.ip net }}.255 
pre-up ip link add link {{ item.dev }} name {{ item.vlan name }} type vlan 
id {{ item.vlan tag }} 
Pre-up ip link set dev {{ item.vlan name }} mtu 9000 
Pre-up ethtool -K {{ item.vlan name }} gro off 
post-down ip link delete {{ item.vlan name TF 
{% if item.gateway is defined $%} 
post-up ip route aqd {{ item.ip net }}.0/24 dev {{ item.vlan name }} table {{ item. 
rt table }} 
post-up ip route add default via {{ item.gateway }} table {{ item.rt table }} 
post-up ip rule add from {{ item.ip net }}.{{ HOST IP OCTET }} table {{ item. 
rt table }} 
pre-down ip rule delete from {{ item.ip net }}.{{ HOST IP OCTET }} table {{ item. 
rt table }} 
pre-down ip route delete default via {{ item.gateway }} table {{ item.rt table }} 
pre-down ip route delete {{ item.ip net }}.0/24 dev {{ item.vlan name }} table {{ 
item.rt table }} 本 加 
{$ endif %} 
{$$ if item.default gateway is defined %} 
post-up ip route add default via {{ item.default gateway }} 
pre-down ip route delete default via {{ item.default gateway }} 
dns-search baremetal.{{ DOMAIN }} {{ DOMAIN }} 加 
dns-nameservers 10.0.0.{{ HOST IP OCTET }} 8.8.8.8 
endif %} SS 
endfor %} 


op op 


如 上 代码 看 似 长 ， 但 其 实 不 难 ， 请 大 家 思考 是 否 有 优化 改造 的 余地 。 至 此 Jinja 的 语法 格式 及 技巧 已 经 介绍 完毕 。 接 下 来 我 们 会 通过 更 多 的 实战 来 巩固 大 家 的 学 习 成 果 。 


6.3.5 Ansible 结 合 Jinja2 生 成 Nginx 配 置 


Nginx 是 目前 最 流行 的 NebServer 应 用 ， 本 节 为 大 家 介绍 Nginx 配 置 文件 的 生成 。 


案例 场景 : 为 2 台 Nginx Proxy、1 台 Nginx Web 通 过 一 套 模板 生成 对 应 的 配置 。 


步骤 1: 编排 目录 如 下 。 


nginxconf .yml 
roles/nginxconf/ | 一 一 tasks | 上 一 file.ym | -一 一 main.yml 
main.yml 


templates nginx.conf.j2 一 一 vars 


目录 的 编排 已 多 次 提 及 ， 这 里 不 效 述 。 
步骤 2: 编辑 nginxconf role 的 tasks 调 度 文件 rolesnginxconf/tasks/ffile.yml，main.yml}。 


编辑 file.yml， 定 义 nginxconf role 的 一 个 功能 集 (一 个 文件 一 个 功能 集 ) 。 


=- name: nginx.conf.j2 tempalte transfer example 
template: src=nginx.conf.j2 dest=/etc/nginx/nginx.conf.template 


编辑 main.yml， 定 义 任务 功能 集合 、nginxconf role 功 能 集 入 口 。 


- include: file.yml 


步骤 3: 这 是 最 重要 的 一 步 ， 定 义 nginxconf role 的 模板 文件 roles/nginxconf/templates/nginx.confj2， 该 模板 的 灵活 性 将 直接 影响 Ansible-playbook 的 代码 行 数 和 整体 Playbook 的 灵活 性 健壮 性 ， 
该 模板 文件 将 被 替换 变量 后 生成 最 终 的 Nginx 配 置 文件 。 


{% if nginx use proxy %} 
{ 委 for proxy in nginx proxies %} 
upstream {{ proxy.name }} { 
# server 127.0.0.1:{{ proxy.port }}; 
server {{ ansible eth0.ipv4.address }}:{{ proxy.port }}; 


} 
{$% endfor %} 
{SS endif %} 
server { 
listen 80; 
server name {{ nginx server name }}; 
access log off; 
error Tog /dev/null crit; 
rewrite ^ https:// $server name$request uri? permanent; 
} 
server { 
listen 443 ssl; 
server name {{ nginx server name }}; 
ssl certificate /etc/nginx/ssl/{{ nginx ssl cert name }}; 
ssl certificate key /etc/nginx/ssl/{{ nginx ssl cert key }}; 
root {{ nginx web root }}; 
index index.html index.html; 
{% if nginx use auth %} 


auth basic "Restricted"; 
auth basic user file /etc/nginx/{{project name}}.htpasswd; 
endif $%} 


if nginx use proxy %} 

for proxy in nginx proxies %} 

location {{ proxy.location }} { 
Proxy_set header X-Real-IP Sremote addr; 
proxy_ set header X-Forwarded-Proto http; 
proxy_set header X-Url-Scheme $scheme; 
proxy set header X-Forwarded-For $proxy add x forwarded for; 
proxy_ set header Host $http host; 0 
proxy_ set header X-NginX-Proxy true; 
Proxy redirect off; 
proxy_pass http://{{ proxy.name }}; 
break; 


op op op 


} 
endfor %} 
endif %} 
if nginx server static %} 
location / { 
try files Suri Suri/ =404; 


op op op 


} 


endif $%} 


op 


这 里 需要 为 大 家 显示 完整 的 代码 ， 以 方便 整体 概览 ， 代 码 稍 多 但 不 复杂 ， 考 虑 到 篇 幅 不 再 解释 ， 难 以 理解 的 请 从 6.3.1 节 开始 按 序 阅读 。 


步骤 4: 编辑 nginxconf role 的 变量 文件 roles/nginxconf/vars/main.yml。 


nginx_ server name: www.magedu.com 
nginx web root: /opt/magedu/ 
nginx proxies: 
- name: suspicious 
location: / 
port: 2368 
- name: suspicious-api 
location: /api 
port: 3000 


该 变量 文件 需要 关注 的 是 nginx_proxies 定 义 的 变量 组 ， 其 下 的 变量 列表 通过 for 循 环 读 取 后 可 以 通过 “.” 来 引用 ， 即 如 下 proxy.name 这 样 的 引用 


{ 当 for proxy in nginx proxies %} 
upstream {{ proxy.name }} { 
# server 127.0.0.1:{{ proxy.port }}; 


步骤 5: 编辑 总 调度 文件 nginxconf.yml。 


— name: Nginx Proxy Server's Conf Dynamic Create 
hosts: "192.168.37.130:192.168.37.158" 
Vars: 

nginx use proxy: true 
nginx ssl cert name: ifa.crt 
nginx ssl cert key: ifa.key 
nginx use auth: true 
project name: suspicious 
nginx server static: true 
gather facts: true 
roles: 
=- { role: nginxconf } 

- name: Nginx WebServer's Conf Dynamic Create 
hosts: 192.168.37.159 
Vars: 

nginx use proxy: false 
nginx ssl cert name: ifa.crt 


nginx ssl cert key: ifa.key 
nginx use auth: false 
project name: suspicious 
nginx server static: false 
gather facts: no 
roles; 
- { role: nginxconf } 


在 nginxconf.yml 文 件 中 ， 同 样 我 们 也 定义 nginx_use_proxy、nginx_ssl_cert_name、nginx_ssl_cert_ key、nginx_use_auth、project_name、nginx_server static 等 变量 ， 同 时 不 同类 型 的 主机 定义 
的 不 同 变量 生成 的 配置 文件 也 不 尽 相 同 ，Ansible 的 灵活 性 可 见 一 斑 。 


步骤 6: 验证 结果 。 
执行 命令 如 下 : 


ansible-playbook nginxconf.yml 


然后 登录 到 NginxWeb192.168.37.159 查 看 /etc/nginx/nginx.conf.template 配 置 文件 ， 类 似 如 下 输出 表示 达到 我 们 的 预期 。 


server { 
listen 80; 
server name www.magedu.com; 
access 1og off; 
error log /dev/null crit; 
rewrite ^ https:// $server name$request uri? permanent; 
} 
server { 
listen 443 ssl; 
server name www.magedu.com; 
ssl certificate /etc/nginx/ssl/ifa.crt; 
ssl certificate key /etc/nginx/ssl/ifa.key; 
root /opt/magedu/; 
index index.html index.html; 


同 理 ， 登 录 到 NginxProxy 主 机 ， 查 看 其 中 一 台 Proxy 的 nginx.conf.template 配 置 ， 类 似 如 下 输出 表示 达到 我 们 的 预期 。 


upstream suspicious { 
# server 127.0.0.1:2368; 
server 192.168.37.130:2368; 
} 
upstream suspicious-api { 
# server 127.0.0.1:3000; 
server 192.168.37.130:3000; 
} 
server { 
listen 80; 
server name www.magedu.com; 
access 1og off; 
error log /dev/null crit; 
rewrite ^ https:// $server name$request uri? permanent; 
} 
server { 
listen 443 ssl; 
Server name www.magedu.com; 
ssl certificate /etc/nginx/ssl/ifa.crt; 
ssl certificate key /etc/nginx/ssl/ifa.key; 
root /opt/magedu/; 
index index.html index.html; 
auth basic "Restricted"; 
auth basic user file /etc/nginx/suspicious.htpasswd; 
location /{ 
proxy set header X-Real-IP S$remote addr; 
proxy set header X-Forwarded-Proto http; 
Proxy_ set header X-Url-Scheme $scheme; 
Proxy_set header X-Forwarded-For $proxy add x forwarded for; 
Proxy set header Host $http host; | 
proxy_set header X-NginX-Proxy true; 
Proxy redirect off; 
Proxy_pass http://suspicious; 
break; 


location /api { 
proxy_set header X-Real-IP $remote addr; 
Proxy_set header X-Forwarded-Proto http; 
proxy_set header X-Url-Scheme $scheme; 
proxy_set header X-Forwarded-For $proxy add x forwarded for; 
Proxy_ set header Host $http host; ee i 
Proxy_set header X-NginX-Proxy true; 
proxy redirect off; 
Proxy Pass http://suspicious-api; 
break; 
} 
location / { 
try files Suri Suri/ =404; 
} 


同样 的 模板 ， 通 过 简单 的 if 和 变量 设置 ， 就 可 以 完成 不 同类 型 主机 的 Nginxconf 配 置 ， 所 以 在 了 解 Ansible 强 大 的 模板 功能 的 同时 ， 也 显示 出 模板 质量 


6.3.6 Ansible 结 合 Jinja2 生 成 Apache 多 主机 配置 


6.3.5 节 介绍 了 Nginx 配 置 的 生成 ， 本 节 介 绍 Apache 多 主机 配置 的 生成 。 因 本 节 不 涉及 新 知识 点 ， 以 纯 实践 为 主 ， 考 虑 篇 幅 ， 我 们 尽 可 能 地 简洁 明了 地 介绍 。 


案例 场景 : 通过 Ansible 的 Jinja 模 板 ， 生 成 如 下 的 Apache 多 主机 配置 。 


NameVirtualHost *:80 
<VirtualHost *:80> 
ServerName apache.magedu.com 
DocumentRoot /data/magedu/ 
<Directory "/data/magedu/"> 
AllowOverride All 
Options -Indexes FollowSymLinks 
Order allow,deny 
Allow from all 
</Directory> 
</VirtualHost> 
<VirtualHost *:80> 
ServerName apache.magedu.otherdomain.com 
DocumentRoot /data/otherdomain/ 
ServerAdmin stanley@magedu.com 
<Directory "/data/otherdomain/"> 
AllowOverride All 
Options -Indexes FollowSymLinks 
Order allow,deny 
Allow from all 
</Directory> 


</VirtualHost> 


步骤 1: 编排 目录 结构 如 下 。 


roles/apacheconf/ | 一 一 tasks | 上 一 file.ym | [一 一 main.yml | 一 一 templates | [一 一 apache.conf.j2 -一 vars 
4 main.yml 


步骤 2: 编辑 apacheconf role 的 tasks 调 度 文件 roles/apacheconf/tasks/f{file.yml,main.yml}。 


编辑 file.yml， 内 容 如 下 : 


=- name: Apache.conf.j2 tempalte transfer example 
template: src=apache.conf.j2 dest=/etc/httpd/apache.conf.template 


编辑 file.yml， 内 容 如 下 : 


- include: file.yml 


步骤 3: 定义 apacheconf role 的 模板 文件 roles/apacheconf/templates/apache.conf.j2。 内 容 如 下 : 


NameVirtualHost *:80 
{$s% for vhost in apache vhosts %} 
<VirtualHost *:80> 
ServerName {{ vhost.servername }} 
DocumentRoot {{ vhost.documentroot }} 
多 if vhost.serveradmin is defined %} 
ServerAdmin {{ vhost.serveradmin }} 
{SS endif %} 
<Directory "{{ vhost.documentroot }}"> 
AllowOverride All 
Options -Indexes FollowSymLinks 
Order allow, deny 
Allow from all 
</Directory> 
</VirtualHost> 
{gS endfor %} 


步骤 4: 编辑 apacheconf role 的 变量 文件 roles/apacheconf/vars/main.yml。 


apache vhosts: 
=- {servername: "apache.magedu.com", documentroot: "/data/magedu/"} 
- {servername: "apache.magedu.otherdomain.com", documentroot: "/data/otherdomain/", 
serveradmin: "stanley@magedu.com"} 


步骤 5: 编辑 总 调度 文件 apacheconf.yml。 


- name: Apache WebServer's Conf Dynamic Create 
hosts: 192.168.37:159 
gather facts: no 
roles; 
- { role: apacheconf } 


步骤 6: 验证 结果 。 


执行 命令 如 下 : 


ansible-playbook apacheconf .yml 


可 以 登录 到 192.168.37.159， 查 看 /etc/httpd/apache.conf.template 是 否 和 我 们 预期 的 一 样 。 


6.3.7 Jinja2 动 态 变量 配置 及 架构 优化 


至 此 ， 所 有 的 Jinja 技 能 点 均 已 介绍 完毕 。 本 章 的 最 后 我 们 来 研究 架构 优化 。 众 所 周知 ， 好 的 架构 不 一 定 是 复杂 的 ， 但 一 定 是 能 很 好 承载 当前 业务 需求 的 。Ansible 一 向 以 简单 著称 ， 当 然 也 不 建议 写 出 很 
长 很 复杂 的 Playbook。 同 时 经 验 也 告诉 我 们 ， 如 果真 的 遇 到 Playbook 很 长 的 情况 ， 还 是 建议 停 下 来 认真 理 理 头绪 和 思路 。 下 面 的 案例 供 大 家 在 架构 优化 的 过 程 中 参考 学 习 。 


案例 场景 : 我 们 希望 将 变量 通过 命令 行 传递 给 Playbook， 当 param1 定 义 的 时 候 ，myvariable=param1 即 value1。 
当 param1、param2 定 义 的 时 候 ，myvariable=value1，value2。 
当 param1、param2、param3 定 义 的 时 候 ，myvariable=value1，value2，value3。 


按 常规 思路 ， 通 过 如 下 命令 即 能 完成 功能 所 需 : 


ansible-playbook playbook.yml -e "paraml=valuel Param2=value2 param3=value3" 


那么 ， 我们 按 现 有 题目 原 设 思路 的 解法 如 下 。 


步骤 1: 编排 myrole 目 录 。 


myrole.yml 
roles/myrole/ 上 一 templates | -一 一 myvar.j2 -一 一 vars 


main.yml 


步骤 2: 编辑 模板 文件 roles/myrole/templates/myvar.j2 和 创建 空 变量 文件 。 


创建 空 变量 文件 。 


mkdir roles/myrole/vars/ && touch roles/myrole/vars/main.yml 


肾 3: 编辑 总 调度 文件 myrole.yml。 


— name 
hosts 
gather facts : 
Vars: 

myvariable: 

1)] |join(',' 

# myvariable: 
tasks: 


no 


{tf 
二 


nt1 


; Test var 
: 192.168.37.142 


paraml ldefault (''), param2|default(''), param3|default( 


[paraml, param?2, param3] |reject('undefined') |join(',') }}" 


- template: src=roles/myrole/templates/myvar.j2 dest=/data/main.yml 


- debug: 


var=myvariable 


roles: 
- { role: myrole 


执行 结果 Ansible 动 态 变量 如 


6-4 所 示 。 


这 段 代 码 摘自 网 络 ， 其 最 终 的 执行 结果 无 可 厚 非 ， 确 实 达到 最 终 目的 ， 但 出 现 该 场景 却 是 值得 
59 的。 我 们 换 一 种 方法 来 处 理 这 个 问题 ， 


风格 是 相 违背 


[rootG@TinuxTJst fapb2ansibTej# ansible-playbook myroTe.ymT 


=value2" 
PLAY [Test 


TASK: 
ok: [192 . 1 
[deb 
[192. 


TASK: 
ok: 


‘myvariable”" 


反思 的 。Ansible 虽 
虽然 不 是 最 好 的 ， 但 在 思路 风格 上 相对 更 贴 合 Ansible 的 核心 精神 。 


var] 


A 2] 


na 


68 


77 
se -上 . 


ug var=myvar iable] * 
68.37 .142| 


f 
L 


{ 


"valuel,value2,”" 


PLAY RECAP 
192.168.37 


[root@linuxlst fab2ansiblel# ansible-playbook myrole.yml -e 


=value2 p 


虽然 提供 了 多 值 合并 的 join| 


[template src=roles/myrole/templates/myvar.]j2 dest=/data/main.yml] 


法 ， 但 本 质 上 是 为 了 功能 的 完整 性 ， 这 和 Ansible 简 洁 明 了 的 


Ee 


"paraml=valuel param 


人 
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TASK: 
changed: [ 
[deb 
[192. 0! 
Var”: 
"m 


TASK: 
ok: 


PLAY RECAP 


192.168.37. 


192.168.37.142] 


友 友 闪闪 闪闪 


闪闪 奖 


ug var= myvariable] 
68.37 .142| 


{ 加 Hn 
iyvariable 


{ 


"valuel,value2,value3" 


changed=1 


142 
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[template src=roles/myrole/templates/myvar.]j2 dest=/data/main.yml] 


奖 认 闪闪 闪闪 


unreachable=0 failed=0 


- name : Test var 
hosts » 192.168,37:142 
gather facts : no 
vars: 
myvariable : false 
tasks: 
—- name: paraml 
set fact: 
myvariable: "{{paraml}}" 
when: paraml is defined 
—- name: param2 
set fact: 
myvariable: "{{ Param2 if not myvariable else myvariable + ',' + 
Param2 }}" 
when: param2 is defined 
- name: param3 
set fact: 
myvariable: "{{ param3 if not myvariable else myvariable + ',' 十 
Param3 }}" 
when: param3 is defined 
- name: default 
set fact: 
myvariable: "default" 
when: not myvariable 
=- debug: 
var=myvariable 
- template: src=roles/myrole/templates/myvar.j2 dest=/data/main.yml 
roles: 


- { role: myrole 


该 方法 可 能 不 是 最 好 的 ， 但 在 编码 风格 上 更 贴 合 YAML 风 格 ， 代 码 整 体 简单 易 懂 ， 


} 


更 易于 维护 和 扩展 。 这 两 种 处 理 方式 


各 


散 。 


1 


7 是 给 


户 评价 代码 好 坏 提供 参考 标准 和 优化 方向 ,复习 已 有 的 代码 和 思路 ， 思 


考 为 什么 出 现 这 样 的 场景 是 推荐 的 办 法 。 


[由 Jinja 官 方 地 址 : http://jinja.pocoo.org/。 
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强大 ， 这 个 过 程 需要 每 个 人 投入 心血 和 思考 ， 知 识 需 要 积累 ， 精 髓 值得 传承 。Galaxy 为 我 们 提供 了 这 样 的 平台 ， 本 节 我 们 来 为 大 家 介绍 Galaxy 的 使 用 。 


从 第 6 章 开始 ， 大 家 会 发 现 我 们 的 代码 愈加 复杂 ， 项 目 越 大 对 Roles 的 依赖 越 明 显 ， 同 时 对 使 用 者 技术 和 架构 能 力 的 要 求 也 越 来 越 高 。 我 们 尽力 优化 代码 ， 尽 力 使 其 看 起 来 简单 灵活 ， 但 又 不 失去 功能 的 


此 处 的 Galaxy 并 非 手 机 ， 而 是 Ansible 官 方 Roles 分 享 平台 ， 在 Galaxy 平 台所 有 人 可 以 免费 上 传 或 下 载 Roles， 在 这 里 好 的 技巧 、 思 想 、 架 构 得 以 积累 和 传播 。 这 也 是 推荐 大 家 尽 可 能 使 用 Roles 的 原因 ， 


在 Roles 中 有 无 限 的 资源 可 供 调 用 ， 同 时 你 也 有 可 能 因为 自己 上 传 的 精品 Roles， 一 夜 之 间 受 到 大 家 的 关注 。 


6.4.1 Ansible-galaxy 命 令 用 法 


下 。 


Ansible-galaxy 是 Ansible 系 列 工具 之 一 ， 主 要 用 于 管理 galaxy.ansible.com 的 Roles， 默 认 下 载 的 Roles 存 放 于 /etc/ansible/roles 目 录 下 ， 可 在 /etc/ansible/ansible.cfg 自 定义 存放 目录 。 其 命令 用 法 如 


1) 获取 命令 用 法 。 


ansible-galaxy --help 
Usage: ansible-galaxy [init|infol|linstall|list|remove] [--help] [options] http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15935/0EBPS/Text 
Options: 
-h, --help show this help message and exit 
See 'ansible-galaxy <command> --help' for more information on a Specific command. 


2) Ansible-galaxy 有 init、info、install、list、remove 方 法 ， 用 法 如 下 。 


init: 创建 空 Roles， 用 于 向 galaxy.ansible.com 上 传代 码 。Usage: ansible-galaxy init [options] role name 

info: 显示 Roles 的 版 本 号 、 作 者 、 下 载 次 数 、Commit 信 息 、 版 本 依赖 等 详细 信息 。Usage: ansible-galaxy info [options] role_name[,version]。 如 显示 manala.mysql 这 个 Role 的 详细 信息 ， 命 令 用 法 为 : ansible 
install: 安装 Roles，Usage: ansible-galaxy install [options] [-r FILE | role name(s) [,version] | scmtrole repo url[,version] | tar file(s)]。 如 ansible-galaxy install manala.mysql 
list: 列 出 本 地 已 安装 的 所 有 Roles。Usage: ansible-galaxy list [role name] 

remove: 移 除 本 地 指定 的 Roles。 Usage: ansible-galaxy remove rolel role2 http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15935/0EBPS/Text/... 


了 解 Galaxy 的 使 用 方法 后 ， 我 们 继续 介绍 Galaxy 的 具体 使 用 。 


6.4.2 ”使 用 Galaxy 


据 所 需 关 键 字 搜索 。Galaxy 上 的 Roles 命 名 规范 遵循 username.rolename。 所 以 下 载 我 们 使 用 : 


(1) 下 载 Roles 


https://galaxy.ansible.com/explore#/ 多 维度 划分 Roles 的 下 载 使 用 情况 ， 如 最 流行 、 下 载 量 最 多 、 最 新 上 架 、 最 多 贡献 者 等 。https://galaxy.ansible.com/list#/roles?page=1&page_size=10 可 根 


ansible-galaxy install username.rolename 


如 需 同时 下 载 多 个 Roles， 可 将 所 需 Roles 写 入 配置 文件 后 ， 使 用 -! 批 量 下 载 Roles。 如 : 


# roles.txt 
Userl.rolel,v1.0.0 
User2 .role2,v0.5 
User2 .role3 


使 用 Ansible-galaxy 批 量 安装 Roles。 


ansible-galaxy install -r roles.txt 


另外 ， 从 Ansible1.8 后 开始 ，Galaxy 支 持 从 其 他 源 下 载 、 指 定 下 载 路 径 、Roles 安 装 命名 等 高 级 下 载 功能 ， 该 功能 可 以 通过 编写 YML 文 件 实现 。 官 方案 例 摘录 如 下 : 


# install roles.yml 

# 从 galaxy 下 载 

- src: yatesr.timezone 

# 从 GitHub 下 载 

— src: https:// GitHub.com/bennojoy/nginx 

# 从 GitHub 下 载 安 装 到 本 机 的 相对 路 径 下 

- src: https:// GitHub.com/bennojoy/nginx 

path: vagrant/roles/ 

# 从 GitHub 下 载 指定 版 本 的 源码 

- src: https:// GitHub.com/bennojoy/nginx 
version: master 
name: nginx role 

# 从 Web 下 载 服 务 器 ， 打 包 为 tar .gz 压缩 包 形式 的 源码 

- src: https:// some.webserver.example.com/files/master.tar.gz 
name: http-role 

# 如 果 bitbucket 网 站 可 用 ， 从 bitbucket 站 点 下 载 

- src: gitthttp://bitbucket.org/willthames/git-ansible-galaxy 
Version: V1.4 

# 从 bitbucket 网 站 下 载 

- src: http://bitbucket.org/willthames/hg-ansible-galaxy 
scm: hg 


安装 Roles: 


ansible-galaxy install -r install roles.yml 


(2) 删除 从 Galaxy 下 载 的 Roles 
删除 的 方式 很 简单 ， 可 以 手动 至 /etc/ansible/roles/ 删 除 指定 的 目录 即 可 。Ansible-galaxy 也 提供 了 专门 的 删除 命令 : ansible-galaxy remove role1role2.…。 


如 先 来 查看 本 地 已 下 载 的 所 有 Roles。 


ansible-galaxy list 
- manala.mysql, master 
- hectcastro.nginx, 0.1.1 


删除 manala.mysql、hectcastro.nginx。 


(3) 上 传 分 享 自己 的 优秀 Roles 


想 上 传 自己 的 Roles 需 要 满足 如 下 几 个 条 件 。 
. 正常 访问 Internet， 能 正常 打开 http://www.GitHub.com、http://galaxy.ansible.com。 
. 开通 了 GitHub 账 户 。 
' 编写 好 遵循 Galaxy 标 准 规范 的 Roles。 


详细 请 参考 官网 https://galaxy.ansible.com/intro#share。 


加 


关于 Galaxy 部 分 我 们 介绍 得 相对 粗略 ， 一 方面 因为 Galaxy 的 使 用 方式 国人 还 不 是 那么 习惯 ， 考 虑 到 安全 等 原因 ， 下 载 后 的 Roles 每 行 代码 都 需要 研读 一 遍 ， 所 以 多 数 国 人 更 多 参考 的 是 其 用 法 技巧 ， 思 
路 和 架构 依然 以 自学 为 主 。 关 于 代码 语法 大 家 也 可 以 参考 https://GitHub.com/ansible/ansible-examples。 另 一 方面 国人 对 Galaxy 的 使 用 场景 多 数 还 停留 在 下 载 的 层面 ， 在 大 家 努力 学 习 国 外 优秀 代码 的 
同时 ， 也 希望 能 有 更 多 的 国产 代码 出 现在 Galaxy 上 。 


6.5 “本章 小 结 


关于 Playbook 在 Ansible 的 应 用 ， 通 过 本 节 内 容 的 学 习 相信 大 家 也 有 所 体会 。 本 节 中 我 们 接触 了 提高 代码 复 用 率 的 工具 Include、 模 块 化 代码 块 工具 Roles、 高 度 自 定义 配置 模板 工具 jinja、Roles 代 码 共 
享 学 习 平台 Galaxy， 既 了 解 到 如 何 使 用 Include、Roles， 也 了 解 到 如 何 优化 自己 的 代码 段 ， 同 时 也 知晓 如 何 获取 优化 的 Roles 代 码 段 及 如 何 分 享 自己 的 优秀 代码 段 。 本 章 是 Ansible 用 法 最 为 核心 的 技巧 内 容 
了 ， 所 以 请 务必 深入 掌握 。 关 于 Ansible 的 使 用 技巧 性 内 容 到 本 章 为 止 绝 大 多 数 均 已 悉数 介绍 ， 本 书后 半 部 分 的 内 容重 点 为 Ansible 与 业内 主流 技术 的 结合 使 用 ， 以 及 Web 自 动 化 开发 ， 接 下 来 我 们 会 为 大 家 
一 一 呈现 。 


第 7 章 ” Inventory 文件 扩展 


经 过 前 面 诸多 章节 的 学 习 ， 相 信 大 家 对 Inventory 文 件 (默认 /etc/ansible/hosts) 的 基本 定义 和 用 法 都 有 了 大 致 的 了 解 。 下 面 我 们 再 来 简单 回顾 一 下 ， 请 看 下 面 这 个 Inventory 文 件 。 


# Inventory 文件 /etc/ansible/hosts 

# 主机 组 使 用 中 括号 “[] ”来 定义 ， 接 下 来 ， 每 一 行 定义 一 台 组 内 的 主机 
[myweb. 
Www .myweb .Com 
L023.1.123 


直接 在 Playbook 中 使 用 主机 组 名 就 可 以 了 。 


当 需 要 对 整个 主机 组 myweb 里 面 的 主机 进行 操作 时 ， 像 下 面 这 样 


— hosts: myweb 
tasks: 
[http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15935/0EBPS/Text/...] 


在 Ad-Hoc 命 令 行 模式 下 ， 对 主机 组 或 某 台 主机 进行 操作 则 更 为 简单 ， 直 接 将 在 Inventory 中 定义 过 的 主机 组 名 或 主机 名 跟 在 ansible 命 令 后 面 即 可 ， 比 如 : 


ansible myweb -a "free -m" 


回顾 结束 ， 接 下 来 我 们 来 看 一 些 实际 生产 环境 中 的 案例 。 


7.1 Inventory 文 件 实战 


实际 生产 环境 中 ， 根 据 业 务 量 的 规模 差异 ，Inventory 文 件 中 的 主机 数量 会 从 几 十 台 到 上 百 台 不 等 。 通 常 这 些 主 机 会 按照 其 所 服务 的 应 用 类 型 进行 分 组 ， 比 如 database、webserver 和 caching 组 等 。 


下 面 我 们 来 看 一 个 现实 生产 中 的 案例 。 该 案例 中 ， 我 们 使 用 Check.in 服 务 来 对 服务 器 的 uptime 进 行 监控 ， 其 Inventory 文 件 内 容 如 代码 清单 7-1 所 示 。 


代码 清单 7-1 Inventory 文 件 内 容 


# Check.in 服务 器 端 主机 组 
servercheck-web] 

www1l .servercheck.in 
www2 .servercheck.in 


servercheck-web:vars] 
ansible ssh user=servercheck svc 


servercheck-db] 
10 dbl.servercheck.in 


12 [servercheck-log] 
13 log.servercheck.in 


15 [servercheck-backup] 
16 backup.servercheck.in 


18 [servercheck-nodejs] 
19 atll.servercheck.in 
20 atl2.servercheck.in 
21 nycl.servercheck.in 
22 nyc2.servercheck.in 
23 nyc3.servercheck.in 
24 nedl. servercheck.in 


25 ned2. servercheck.in 


27 [servercheck-nodejs:vars] 
28 ansible ssh user=servercheck _ svc 
29 foo=bar 


31 # 按 操 作 系 统 类 型 对 主机 组 进行 分 组 
32 [centos:children] 

33 servercheck-web 

34 servercheck-db 

35 servercheck-nodejs 

36 servercheck-backup 


38 [ubuntu:children] 
39 servercheck-log 


一 眼看 过 去 ， 这 个 Inventory 文 件 让 人 有 点 不 知 该 如 何 下 手 ， 但 是 当 我 们 把 它 拆 开 来 看 的 话 ， 会 发 现 它 其 实 表述 的 是 一 幅 简 单 的 系统 架构 图 。 


网 


司 7-1 为 Check.in 服 务 器 架构 图 ， 可 将 其 与 Inventory 文 件 对 照 。 
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7-1 Check.in 服 务 器 架构 图 


在 上 述 Inventory 文 件 (代码 清单 7-1) 中 : 


第 1~19 行 是 对 主机 组 进行 定义 (有些 主 机 组 中 只 有 一 台 主 机 ) ， 这 里 定义 的 主机 组 名 称 就 可 以 在 Ansible 命 令 和 Playbook 中 被 直接 使 用 。 第 6~7 行 和 第 27~29 行 分 别 为 主机 组 servercheck-web 和 
servercheck-nodejs 定 义 了 组 变量 ， 这 些 组 变量 对 相关 主机 组 内 的 所 有 主机 生效 。 


第 31~39 行 对 主机 组 又 重新 按 不 同系 统 类 型 进行 分 组 ， 主 机 组 可 以 包含 主机 组 ， 主 机 的 变量 可 以 通过 继承 关系 ,继承 到 最 高 等 级 的 组 的 变量 。 定 义 主机 组 之 间 的 继承 关系 使 用 “children” 来 表示 。 由 
此 也 可 以 看 出 ，Inventory 文 件 中 主机 组 的 划分 是 十 分 灵活 的 。 


在 使 用 Ansible 的 过 程 中 ， 这 种 灵活 的 分 组 方式 为 Ansible 提 供 了 非常 大 的 灵活 性 。 比 如 ， 现 在 这 套 架构 中 ， 我 们 要 为 所 有 的 CentOS 系 统 打 一 个 补丁 ， 只 需要 对 CentOS 主 机 组 进行 操作 即 可 ， 不 需要 再 


逐 台 登 录 主机 进行 操作 ， 也 避免 了 在 其 他 非 CentOS 系 统 的 主机 上 进行 判断 和 操作 ， 从 而 更 具 效 率 。 比 如 2014 年 9 月 曝 出 的 BASH 安 全 漏洞 Shellshock， 大 漏洞 被 曝 出 几 小 时 后 ， 补 丁 文件 就 发 布 了 出 来 ， 只 
需 将 BASH 升 级 到 最 新 版 即 可 。 对 于 我 们 这 套 Check.in 服 务 器 架构 来 说 ,我们 需要 做 的 只 运行 一 条 命令 即 可 。 


ansible centos -m yum -a "name=bash state=latest" 


下 面 一 个 例子 是 Playbook 利 用 组 变量 ， 在 一 个 Playbook 文 件 中 对 整套 架构 中 的 所 有 主机 进行 了 配置 ， 如 代码 清单 7-2 所 示 。 


代码 清单 7-2 利用 组 变量 对 所 有 主机 进行 配置 


# 对 所 有 主机 进行 基础 配置 
~ hosts: all 
sudo: true 
roles: 
- security 
- logging 
- firewall 
# 配置 web 主 机 
— hosts: servercheck-web 
roles: 


— servercheck-web 
# 配置 数据 库 主机 
- hosts: servercheck-db 
roles:; 
- pgsql 
- db-tuning 
# 配置 日 志 主机 
— hosts: servercheck-log 
roles: 
- java 
- elasticsearch 
- logstash 
— kibana 
# 配置 备份 主机 
— hosts: servercheck-backup 
roles: 
— backup 
# 配置 Node.js 主 机 
- hosts: servercheck-nodejs 
roles: 
- servercheck-node 


构建 服务 器 基础 设施 管理 的 Playbook 方 法 有 很 多 ， 这 只 是 其 中 一 种 ， 在 随后 的 章节 中 我 们 会 继续 探讨 更 多 的 方法 。 对 于 结构 比较 简单 的 服务 器 架构 来 说 ， 代 码 清单 7-2 的 方法 足 矣 ， 同 时 ， 它 还 具有 很 
强 的 可 扩展 性 。 


7.2 独立 的 Inventory 文 件 


上 节 中 ， 代 码 清单 7-1 使 用 的 是 全 局 生效 的 Inventory 文 件 ， 这 种 集中 管理 的 方法 对 线 上 生产 环境 来 说 是 可 行 的 。 但 是 ， 在 和 线 上 环境 极其 相似 的 测试 环境 中 ， 我 们 需要 另外 一 种 Inventory 的 管理 方法 : 
将 集中 管理 的 Inventory 文 件 进行 分 隔 ， 独 立 管 理 。 


还 以 代码 清单 7-1 所 在 Inventory 文 件 为 例 ， 创 建 如 下 结构 的 两 个 目录 : servercheck/inventories， 我 们 将 代码 清单 7-1 所 在 Inventory 文 件 复制 一 份 并 重 命名 为 inventory-prod， 这 表明 生产 环境 中 我 们 
就 使 用 inventory-prod 作 为 Inventory 文 件 。 再 将 文件 inventory-prod 复 制 一 份 并 重 命名 为 inventory-dev， 然 后 将 其 中 的 线 上 生产 服务 器 的 主机 名 蔡 换 为 测试 开发 环境 的 主机 名 ， 比 如 : 将 [servercheck- 
web] 主 机 组 下 面 的 vww1.servercheck.in 改 为 与 其 对 应 的 测试 主机 www1-dev.servercheck.in， 这 样 就 为 测试 开发 环境 创建 了 一 份 单独 的 Inventory 文 件 。 最 后 目录 结构 如 下 : 


servercheck/ 
inventories/ 
inventory-prod 
inventory-dev 
playbook.yml 


现在 要 想 对 开发 环境 进行 操作 ， 则 只 需要 指定 对 应 的 Inventory 文 件 就 可 以 了 。 比 如 : 


ansible-playbook playbook.yml -i inventories/inventory-dev 


此 外 ， 针 对 第 一 个 独立 的 Inventory 文 件 ， 我 们 可 以 在 文件 中 为 不 同 的 环境 指定 不 同 的 Inenvory 变 量 、 任 务 或 者 角色 ， 甚 至 根据 需要 对 整个 Inventory 的 架构 进行 变动 都 是 可 以 的 。 


7.3 Inventory 变 量 


在 本 书 第 5 章 中 ， 我 们 曾 介绍 过 如 何 通过 Inventory 文 件 为 某 个 主机 组 或 某 个 单独 主机 设置 变量 的 方法 。 本 节 我 们 将 介绍 另外 一 些 通过 Inventory 设 置 变量 的 方法 。 


我 们 先 来 回顾 一 下 在 Inventory 文 件 中 为 主机 和 主机 组 定义 变量 的 简单 例子 。 代 码 如 下 所 示 : 


[www] 
# 为 主机 单独 定义 变量 
www]l .example.com ansible ssh user=johndoe 
www2 .example .com 本 
[db] 
dbl1 .example .com 
db2 .example .com 
# 为 一 组 主机 定义 变量 ， 这 些 变量 对 组 内 所 有 主机 生效 
[db:vars] 
ansible ssh port=5222 
database performance mode=true 


通常 ， 我 们 建议 不 要 在 静态 的 Inventory 文 件 中 定义 过 多 的 变量 ， 因 为 这 样 定义 的 变量 不 仅 识 别 度 低 ， 而 且 维 护 起 来 也 比较 麻烦 ， 尤 其 是 在 一 行内 为 一 台 主 机 定义 多 个 变量 的 时 候 。 


幸运 的 是 ，Ansible 为 用 户 提供 一 种 弹性 很 高 且 易 于 维护 的 变量 管理 方法 。 


7.3.1 host_vars 目 录 


在 很 多 项 目 中 ， 同 一 主机 组 中 的 各 个 主机 可 能 由 于 自身 硬件 性 能 的 差异 或 所 运行 服务 的 不 同 ， 对 同一 项 性 能 指标 有 着 不 同 的 要 求 。 比 如 在 Apache Slor 集 群 中 ， 我 们 有 一 个 名 为 slor 的 主机 组 ， 里 面 各 主 
机 对 内 存 有 着 不 同 的 需求 。 我 们 可 以 使 用 host_vars 目 录 对 每 一 台 主 机 进行 变量 设置 。host_vars 目 录 可 以 将 Hosts 文 件 一 同 放置 在 /vaVansible 目 录 下 ， 也 可 以 与 Playbook 文 件 放 在 同一 个 目录 
下 ，host_vars 目 录 内 放置 和 主机 同名 的 YAML 文 件 ， 用 来 为 主机 设置 变量 。 


下 面 我 们 来 看 一 个 简单 的 host_vars 目 录 的 应 用 实例 。 我 们 当前 有 如 下 的 目录 结构 : 


hostedapachesolr/ 
host_vars/ 
nycl .hostedapachesolr.com 
inventory/ 
hosts 
main.yml 


本 例 中 inventory 目 录 下 的 文件 hosts 定 义 主机 组 ， 其 内 容 如 下 : 


[solr] 

nycl .hostedapachesolr.com 

nyc2.hostedapachesolr.com 

japl .hostedapachesolr .com 

http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15935/0EBPS/Text/... 
[log] 

log.hostedapachesolr.com 


在 Ansible 运 行 时 ，Ansible 会 搜索 hostedapachesolr/host_vars/nyc1.hostedapachesolr.com 或 者 hostedapachesolr/inventory/host_vars/nyc1.hostedapachesolr.com (本 例 中 未 使 用 该 文件 ) ， 
在 这 两 个 文件 中 定义 的 变量 只 对 文件 名 所 对 应 的 主机 名 生效 ， 并 且 将 履 盖 在 其 他 任何 Playbook 和 Role 中 定义 的 同名 变量 的 值 。 


文件 nyc1.hostedapachesolr.com 的 内 容 如 


tomcat xmx: "1024m 


默认 情况 下 ，tomcat_xmx 的 值 为 640m， 我 们 在 nyc1.hostedapachesolr.com 进 行 的 设置 ， 将 会 覆盖 其 默认 值 ， 使 其 最 终结 果 为 1024m。 


使 用 host_vars 目 录 的 方法 来 管理 和 定义 主机 变量 非常 便于 维护 ， 并 且 由 于 文件 名 是 由 主机 名 命名 的 YAML 文 件 ， 所 以 维护 起 来 也 不 容易 搞 混 。 


7.3.2 group_vars 目 录 


group_vars 目 录 管 理 组 变量 的 方法 与 host_vars 目 录 非 常 相似 ， 存 放 路 径 也 是 在 /etc/ansible 目 录 下 或 者 与 所 要 执行 的 Playbook 相 同 的 目录 下 ， 用 于 定义 组 变量 的 文件 也 要 使 用 YAML 语 法 ， 且 文件 应 以 
主机 组 名 来 命 


我 们 继续 使 用 上 面 的 例子 ， 只 是 在 原 有 的 目录 结构 中 加 了 一 个 hostedapachesolr/group_vars 目 录 。 结 构 如 下 所 示 : 


hostedapachesolr/ 
group vars/ 
solr 
host_vars/ 
nycl1 .hostedapachesolr .com 
inventory/ 
hosts 
main.yml 


在 文件 group_vars/solr 中 ， 使 用 YAML 语 法 为 主机 组 slor 定 义 组 变量 ， 内 容 如 下 : 


do_something amazing=true 
foo=bar 


7.4 动态 Inventory 


在 大 多 数 情况 下 ， 静 态 Inventory 文 件 可 以 很 好 地 描述 主机 间 的 关系 。 尤 其 是 服务 器 规模 不 大 的 情况 下 ， 即 便 是 手动 来 编辑 、 更 新 Inventory 文 件 也 非常 方便 快捷 。 


然而 ， 我 们 所 生活 的 时 代 是 云 计算 和 大 规模 集群 的 时 代 。 在 实际 生产 应 用 中 ， 经 常会 遇 到 业务 的 快速 发 展 或 者 流量 的 急剧 增加 等 情况 ， 需 要 在 短 时 间 内 向 架构 中 添加 几 十 台 甚 至 上 百 台 服务 器 来 提高 整 
个 架构 的 处 理 能 力 。 这 个 时 候 ， 手 动 管理 Inventory 文 件 不 仅 没有 效率 ， 而 且 非 常 乏味 。 


此 时 ， 动 态 Inventory 应 运 而 生 。Ansible 通 过 调用 第 三 方 脚本 来 动态 地 配置 Inventory 文 件 。 目 前 ， 一 些 知名 的 云 主 机 供应 商 ， 如 亚马逊 AWS、Cobbler、gitalOcean、Lnode、Openstack 等 ， 提 供 
了 现成 的 脚本 供 Ansible 直 接 调用 ， 其 具体 的 用 法 在 对 应 的 平台 上 都 有 详尽 的 官方 文档 说 明 ， 这 里 我 们 不 歼 述 。 接 下 来 我 们 将 借助 实际 案例 ， 详 细 介 绍 如 何 自行 开发 动态 Inventory 文 件 的 脚本 。 


Ansible 启 用 动态 Inventory 的 机 制 是 通过 调用 外 部 脚本 (任何 脚本 都 可 以 ， 二 进 制 文件 也 可 以 ， 只 要 运行 结果 返回 的 是 JSON 串 就 行 ) 生成 指定 格式 的 JSON 串 。Ansible 可 以 对 JSON 格 式 的 字符 串 进行 
解析 ， 并 最 终 将 其 转化 为 Ansible 可 用 的 Inventory 文 件 格式 。 所 以 ， 所 谓 的 动态 Inventory 文 件 脚本 开发 ， 其 实 就 是 编写 脚本 根据 具体 环境 将 主机 信息 及 关系 (这 些 数 据 可 以 通过 抓 取 数据 库 ， 调 用 外 部 API 
或 者 直接 读 取 文 件 获得 ) 以 JSON 格 式 来 表示 出 来 ， 并 将 其 做 为 脚本 输出 结果 传 给 Ansible。 


需要 注意 的 是 ， 用 于 生成 JSON 代 码 的 脚本 必须 支持 两 个 选项 ; --list 和 --host。 


“ -list: 返回 所 有 的 主机 组 信息 ， 每 个 组 都 应 该 包含 字典 形式 的 主机 列表 、 子 组 列表 ， 如 果 需 要 的 话 还 应 该 有 组 变量 ， 最 简单 的 信息 是 只 包含 主机 列表 。 返 回 的 数据 格式 是 JSON 格 式 。 


“ -host: 返回 该 主机 的 变量 列表 ， 或 者 是 返回 一 个 空 的 字典 ， 使 用 SON 格 式 。 


Ansible 使 用 -i 选项 来 调用 脚本 。 命 令 格式 如 下 : 


ansible all -i my-inventory-script -m ping 


虽然 在 命令 中 并 未 体现 ， 但 Ansible 默 认 是 通过 调用 脚本 的 --list 选 项 来 获取 JSON 代 码 的 。 下 面 是 一 段 由 脚本 生成 的 JSON 代 码 。 


"databases": { 

"hoste"s 上 
"192.168.28.71". 
"L92168,.28.72" 

]， 


mvars": { 
"ansible ssh user": "johndoe", 
"ansible ssh private key file": "~/.ssh/mykey", 
"example variable": "value" 
} 
] 
" meta": { 


"hostvars": { 
"192.168.28.71"3 1 
"host_specific var": "bar" 
] 
"192.168.28.72": { 
"host_specific var": "foo" 


在 本 例 中 ，databases 为 主机 组 和 名， 可 自 定义 。hosts 为 固定 字段 ， 用 于 以 列表 形式 定义 主机 组 的 主机 。vars 也 为 固定 字段 ， 用 于 为 主机 组 设置 主机 组 变量 。 字 典 meta 中 定义 的 是 主机 变量 。 


机 变量 并 不 是 Inventory 文 件 中 必需 的 ， 所 以 _meta 字 典 也 不 是 必须 生成 的 。 当 Inventory 脚 本 中 生成 meta 字 典 时 ，Ansible 会 将 _meta 信 息 存放 在 缓存 中 ， 当 任务 中 需要 调用 这 些 主机 变量 时 ， 会 直 
接 从 缓存 中 读 取 ， 而 不 是 调用 一 次 变量 就 执行 一 次 Inventory 脚 本 。 这 样 就 大 大 提高 了 运行 效率 。 


1. 动 态 Inventory 脚 本 的 Python 实现 


我 们 使 用 Vagrant 创 建 虚拟 机 ， 来 演示 动态 Inventory 脚 本 的 基本 写法 。 当 然 其 他 虚拟 化 平台 的 虚拟 机 或 其 他 测试 主机 也 都 是 可 以 的 。 首 先 在 一 个 空 目录 下 创建 Vagrant 的 配置 文件 Vagrantfile， 内 容 如 


下 ; 


VAGRANTFILE API VERSION = "2" 
Vagrant .configure (VAGRANTFILE API VERSION) do |configl 
config.ssh.insert key = false 
config.vm.provider :virtualbox do |vbl 
vb.customize ["modifyvm", :id, "--memory", "256"] 
end 
# Application server 1. 
config.vm.define “inventoryl" do |inventory| 
inventory.vm.hostname = "inventoryl .dev" 
inventory.vm.box = "geerlingguy/ubuntu1404" 
inventory.vm.network :private network, ip: "192.168.28.71" 
end 
# Application server 2. 
config.vm.define "inventory2" do |inventory| 
inventory.vm.hostname = "inventory2.dev" 
inventory.vm.box = "geerlingguy/ubuntul1404" 
inventory.vm.network :private network, ip: "192.168.28.72" 
end 
end 


然后 运行 vagrant up 来 启动 这 两 台 虚 拟 机 ， 按 照 我 们 Vagrantfile 中 的 配置 ， 两 台 虚 拟 机 都 采用 Ubuntu14.04 系 统 ，IP 地 址 为 分 别 为 192.168.28.71 和 192.168.28.72。 


要 求 最 终 产生 的 JSON 代 码 需 要 等 效 于 这 样 一 份 Inventory 文 件 : 


[group] 

192.168.28.71 host specific var=foo 

192.168.28.72 host_specific var=bar 

[group:vars] 

ansible ssh user=vagrant 

ansible ssh private key file=~/.vagrant.d/insecure private key 
example _ variable=value 加 本 


下 面 我们 来 看 一 个 最 基本 的 基于 Python 开发 的 动态 Inventory 脚 本 ， 如 代码 清单 7-3 所 示 。 


代码 清单 7-3 “Python 脚本 


1 # !/usr/bin/env Python 
4 基于 Python 的 动态 Inventory 脚 本 举例 
必 
6 
7 import os 
8 import sys 
9 import argparse 
10 
il try: 
12 import json 
13 except ImportError: 
14 import simplejson as json 
15 
16 class ExampleInventory (object): 
下 
18 def init (self): 
19 Self.inventory = {} 
20 self.read cli args() 
21 
22 # 定义 `--1ist` 选 项 
23 if self.args.list: 
24 self.inventory = self.example inventory() 
25 # 定义 `--host [hostname] ` 选 项 
26 elif self.args.host: 
27 
28 self.inventory = self.empty inventory() 
29 # 如 果 没 有 主机 组 或 变量 要 设置 ， 就 返回 一 个 空 Inventory 
30 else: 
31 self.inventory = self.empty inventory() 
32 
33 print json.dumps (self.inventory); 
34 
35 # 用 于 展示 效果 的 JSON 格 式 的 Inventory 文 件 内 容 
36 def example_inventory (self) : 
37 return { 
38 To 
39 "hosts's ['192:168.28.71; "192,168.28.72"]; 
40 'vars': { 
41 Transible ssh user': 'vagrant', 
42 "ansible ssh private key file': 
43 '~/ .vagrant.d/insecure private key', 
44 'example variable': 'value™ 
45 } 
46 }, 
47 "meta': { 
48 'hostvars': { 
49 Ta T8280 7 
50 "host_specific var': "foo' 


31 }, 


52 “有 2 7 


53 'host_ specific var': 'bar' 

54 F 

55 } 

56 . 

537 } 

58 

59 # 返回 仅 用 于 测试 的 空 Inventory 

60 def empty inventory (self): 

61 return {'_meta': {'hostvars': {}}} 

62 

63 # 读 取 并 分 析 读 入 的 选项 和 参数 

64 def read cli _ args (self) : 

65 Parser = argparse.ArgumentParser () 

66 Parser.add argument ('--list', action = 'store true') 
67 parser.add argument ('--host', action = 'store') 
68 self.args = parser.parse args() 

69 


70 # 获取 Inventory 
71 ExampleInventory () 


将 代码 清单 7-3 保 存 为 文件 inventory.py， 并 赋予 其 可 执行 权限 (chmod+x inventory.py) 。 在 命令 行 中 使 用 其 --list 选 项 来 测试 其 功能 。 


./inventory.py --list 


运行 结果 如 下 : 


{"group": {"hosts": ["192.168.28.71", "192.168.28.72"], "vars":{"ansible ssh user": "vagrant", "ansible ssh private key file":"~/.vagrant.d/insecure private key", "example vari 


使 用 Ansible 命 令 调用 这 个 脚本 来 测试 两 台 虚拟 机 的 网 络 是 否 正 常 。 


ansible all -i inventory.PY -~m Ping 


运行 结果 如 下 : 


192.168.28.71 | success >> { 
"changed": false, 
"ping": "pong" 


192.168.28.72 | success >>{ 
"changed": false, 

"ping": "pong" 

} 


确认 通信 没 问题 后 ， 接 下 来 验证 我 们 设置 的 主机 变量 host_sepcific_var 是 否 生效 。 命 令 如 下 : 


ansible all -i inventory.py -m debug -a "var=host specific Var" 


运行 结果 如 下 : 


192.168.28.71 | success >> { 
ars { 
"host_ specific var": "foo" 
} 


192.168.28.72 | success >> { 
IE 4 
"host_ specific var": "bar" 


} 


由 结果 可 以 看 出 ， 主 机 变量 的 设置 也 是 正确 的 。 


若 读者 在 实际 生产 中 要 用 本 例 中 的 脚本 ， 唯 一 要 变动 的 是 example_inventory () 函数 。 为 演示 之 用 ， 写 成 了 静态 格式 。 在 现实 环境 中 ， 需 要 结合 自身 的 业务 场景 编写 代码 ， 既 可 以 通过 调用 外 部 API 也 
可 以 查询 数据 库 来 取得 所 需 的 主机 信息 ， 并 将 其 最 终 转换 为 JJON 代 码 ， 供 Ansible 使 用 。 


2. 动 态 Inventory 脚 本 的 PHP 实 现 


我 们 可 以 使 用 任意 编程 语言 来 实现 动态 Inventory 脚 本 。 比 如 上 一 小 节 中 基于 Python 实现 的 动态 Inventory 脚 本 ， 通 过 以 下 PHP 代 码 也 可 以 实现 相同 功能 。 


1 # !/usr/bin/php 

2 <?php 

3 

4 xx 

5 * @file 

6 * 基 于 PHP 的 动态 Inventory 脚 本 举例 
2 

8 

9 

10 


/** 
大 


二 
12 * Qreturn array 
13 * 生 成 用 于 展示 效果 的 JSON 格 式 的 Inventory 文 件 内 容 
14 */ 
15 function example inventory() { 
16 return [ 
17 'group' => [ 
18 "hosts' => [192.168.28.71', *'192.168.28.72']; 
19 'vars' => [ 
20 'ansible ssh user' => 'vagrant', 
21 'ansible ssh private key file' => '~/.vagrant.d/insecure private key', 
22 'example variable' => 'value', 
23 ]， 
24 ]， 
25 * meta' = 
26 'hostvars' => [ 
27 .257T7Y = [ 
28 "host_specific var' => 'foo', 
], 
30 '192.168.28.72' => [ 
31 'host specific var' => 'bar', 
32 ]， 


]， 
34 ]， 
] 7 
} 


38. st 
六 
六 


41 * @return array 
42 * 生成 用 于 测试 的 室 Inventory 
区 


43 

44 function empty inventory() { 

45 return ['_ meta™ => ['hostvars' => new stdclass()]]; 
46 } 

47 

a. jt 

49 * 获取 Inventory 

S50 二 

51 * @param array $ar 

52 * 以 数组 形式 传 入 变量 (as returned by $_SERVER['argv']). 
3 

54 * @return array 

55 

S62y 

57 function get inventory($argv = []) { 

58 $inventory = new stdClass (); 

59 

60 // 设置 `--list 选项 

61 if (!empty(S$argv[1]) && $argv[1] 一 '--list') { 
62 $inventory = example inventory(); 

63 } 


64 // 定义 `--host [hostname] ”选项 


65 elseif ((!empty($argv[1]) && S$argv[1] == '--host') && !empty($argv[2])) { 


66 // 获取 用 于 测试 的 空 Inventory 
67 $inventory = empty inventory(); 


} 
69 // 如 果 没 有 主机 组 或 变量 要 设置 ， 就 返回 一 个 空 Inventory 


70 else { 
71 $inventory = empty inventory(); 


74 print json encode ($inventory); 
时 
77 // 获取 Iventory 


78 get inventory($ SERVER['argv']); 


80 ?> 


将 上 述 代码 保存 在 文件 inventory.php 中 ， 并 赋予 其 可 执行 权限 (chmod+x inventory.php) 后 ， 就 可 以 像 调 用 上 面 的 Python 脚本 inventory.py 一 样 ， 在 Ansible 中 使 用 inventory.php 了 。 


7.5 ”本章 小 结 


通过 本 章 的 学 习 ， 我 们 可 以 看 到 ， 无 论 是 简单 到 只 有 一 台 主 机 的 架构 还 是 主机 数量 上 干 台 的 服务 器 架构 ， 借 助 Ansible 的 动态 Inventory 系 统 ， 我 们 可 以 轻松 地 实现 对 主机 架构 的 动态 管理 ， 为 快速 扩张 


的 公司 业务 提供 强 有 力 的 服务 器 支持 。 


第 8 章 ”Ansible 揪 件 扩 展 


截至 本 章 ，Ansible 所 有 的 技术 知识 点 均 已 介绍 完毕 ，Ad_Hoc、Playbook、Inventory、jJinja、Galaxy、Roles 等 技术 点 在 前 面 章节 从 基础 到 入 门 篇 到 高 级 进 阶 篇 均 有 详细 介绍 ， 这 些 内 容 已 可 满足 日 常 


工作 中 各 类 业务 所 需 。 但 对 于 一 些 自 定义 或 者 特殊 个 性 化 需求 还 无 法 满足 ，Ansible 揪 件 扩 


但 为 了 书籍 内 容 的 完整 性 ， 本 章 也 会 介绍 如 何 编写 Ansible 的 插件 扩 


8.1 ”Ansible 揪 件 使 用 场景 


展 功能 提供 高 度 自 定义 的 扩展 接口 ， 读 者 具备 代码 基础 即 可 编写 属于 自己 的 扩展 插件 ， 但 是 很 少 用 户 有 这 类 需求 ， 


展 ， 但 多 数 只 是 点 到 为 止 ， 推 荐 


备 编码 基础 的 读者 深入 学 习 第 12~ 14 章 ， 自 行 开 发 Web 界 面 。 


如 前 文 绍 ，Ansible 核 心 功能 及 自身 500 多 个 功能 模块 已 能 满足 企业 绝 大 多 数 场景 所 需 。 那 么 究竟 什么 时 候 我 们 需要 自己 开发 插件 来 满足 特有 需求 呢 ? 这 里 不 能 一 一 涉及 ， 大 概 列举 如 下 场景 供 大 家 参 


考 : 


2 


除 Ansible 内 置 的 with_items、with_fileglob 循 环 体外 ， 希 望 有 新 的 遍历 方式 ; 


3) 除了 Ansible 内 置 的 host_vars、group_vars 等 变量 调用 方式 外 ， 希 望 有 新 的 变量 定义 方式 ; 


4 


en 


“丰富 强化 标准 的 Stdout 输 出 结果 ; 


除了 Ansible 的 内 置 的 jinja2 模 板 泻 染 、to_yaml、to json 等 过 滤器 外 ， 希 望 有 新 的 过 滤器 ; 


5) 定义 新 的 回调 机 制 ， 即 捕获 响应 事件 后 自 定义 新 的 响应 形式 。 


' 增加 日 志 记录 的 行为 方式 如 插入 MYSQL、Redis、MongoDB 数 据 库 ; 


1) 除 Paramiko、 本 机 SSH、Local、Winrm 连 接 方式 外 ， 希 望 Ansible 基 于 新 的 通信 方式 与 远程 主机 交互 ; 


“ 增加 事件 响应 方式 ， 如 Playbook 执 行 结果 为 Success 时 发 送 邮 件 给 各 部 门 组 织 新 一 轮 的 测试 工作 ， 免 去 人 工 干预 过 程 ; Playbook 执 行 结果 为 Failed 时 发 送 短信 到 自己 手机 上 ， 尽 快 人 为 干预 排查 错误 等 。 


如 上 场景 需 自行 编写 Ansible 插 件 方 可 实现 ， 类 似 场景 可 采用 自行 编写 插件 的 方式 满足 。 


8.2 Ansible 插 件 类 型 


Ansible 官 方 代码 更 新 速度 非常 快 ， 以 致 于 官网 的 更 新 维护 速度 赶不上 代码 的 更 新 速度 。1.9 版 本 的 插件 类 型 支持 callback、connection、lookup、vars、filter、inventory 共 6 种 类 型 的 插件 。 从 2.0 版 
本 开始 ， 支 持 的 插件 类 型 几乎 翻 了 一 倍 ， 又 增加 了 cache、inventory、shell、strategy、test 这 5 种 类 型 ， 达 到 11 种 类 型 。 但 是 在 最 新 的 Devel 版 本 中 ， 又 将 inventory 插 件 功 能 取消 了 ， 所 以 大 家 在 升级 新 版 
本 时 也 需 多 关注 其 Changelog 变 更 信息 。 我 们 将 挑选 一 些 大 家 可 能 涉及 的 插件 做 介绍 ， 着 重 介绍 callback、connection、lookup、vars、filter， 其 他 5 种 类 型 大 家 可 参考 GitHub 网 站 [1 自行 研究 。 下 面 为 大 


家 介绍 日 常 工作 中 可 能 用 到 的 插件 。 


(1) Connection 类 型 插件 


这 类 插件 代表 通信 连接 ， 


来 和 远程 主机 通信 。 默 认 提 供 Paramiko、Native SSH、Local、Winrm 等 连接 方式 。 默 认 通 过 ansible connections 变 量 指定 连接 类 型 ， 如 ansible all-m ping- 


connections=ssh， 或 直接 在 Inventory 文 件 中 配置 ansible_ connection=winrm， 默 认 是 系统 自动 判断 连接 类 型 ， 默 认 值 是 smart。 将 新 的 Connection 插 件 放 在 ansible.cfg 指 定 的 同 级 目录 下 即 可 生效 。 


(2) Lookup 类 型 插件 


这 类 插件 代表 循环 体 功能 类 型 ， 实 现 诸 如 with_items、with_fileglob 等 遍历 功能 的 内 置 插件 ，Ansible-playbook 中 的 with_items、with_fileglob 语 法 均 是 通过 调 有 


件 放 在 ansible.cf9g 指 定 的 同 级 目录 下 即 可 生效 。 


(3) Vars 类 型 插件 


Lookup 插 件 实现 的 。 新 的 Lookup 插 


从 名 称 看 可 以 得 知 是 变量 类 型 插件 ， 这 些 变量 并 非 来 自 Inventory、Playbook、 命 令 终端 ， 而 是 通过 host vars、group_vars 产 生 的 ， 需 要 留意 的 是 这 些 变量 也 可 以 通过 Inventory 产 生 ， 言 外 之 意 是 


Vars 类 型 的 插件 绝 大 多 数 时 候 用 不 到 。 


(4) Filter 类 型 插件 


Filter 类 型 插件 其 实 是 jinja2 模 板 引 擎 的 Fiter，Jinja2 的 常 


(5) Callback 类 型 插件 


Callback 类 型 插件 是 本 章 着 重 
因为 我 们 可 以 通过 统计 数据 库 对 平时 的 发 布 频次 、 成 功 /失败 率 、 代 码 质量 进行 大 数据 处 理 和 可 预见 性 分 析 。 


的 


介绍 的 内 容 ， 该 插件 允许 程序 捕获 响应 的 事件 ， 并 进行 一 些 自 定义 响应 ， 如 前 面 提 到 的 插入 日 志 到 数据 库 、 发 送 邮件 等 功能 。 


Filter 实 现 有 to_yaml、to_json， 官 网 实现 的 Filter Plugins 代 码 全 合并 在 core.py 马 脚本 中 ， 新 Filter 插 件 需 在 该 脚本 的 基础 上 编写 。 


该 类 功能 对 运 维 的 日 常 工作 还 是 有 些 帮助 


官方 也 提供 了 很 多 Callback 类 型 插件 ， 如 log_playsB] 捕 获 Playbook 事 件 日 志 写 入 文件 ， 并 在 Playbook 执 行 完毕 时 发 送 邮件 给 相关 人 员 ; syslog json 办 将 Ansible 日 志 以 JSON 格 式 输出 等 。 同 时 
Ansible 还 支持 通过 命名 的 方式 按 序 执行 插件 ， 如 希望 插件 第 一 个 执行 ， 则 命名 为 1 first,py， 如 希望 最 后 一 个 执行 ， 则 命名 为 z_last.py 即 可 。 下 面 我 们 学 习 如 何 编写 自己 的 插件 。 


[1] Plugins 网 址 : https://github.com/ansible/ansible/tree/stable-2.1/lib/ansible/plugins。 

[Qcore.py 脚 本 网 址 : https://github.com/ansible/ansible/blob/stable-2.1/lib/ansible/plugins/f ilter/core.pys 
[3]1og_plays 脚 本 网 址 : https://github.com/ansible/ansible/blob/devel/lib/ansible/plugins/callback /log_plays.py。 

团 syslog_json 脚 本 网 址 : https://github.com/ansible/ansible/blob/devel/lib/ansible/plugins/callback/syslog json.py。 


8.3 ”如 何 编写 自己 的 插件 


首先 大 家 要 带 着 轻松 的 心态 看 待 自 定义 插件 ， 
放 在 当前 系统 环境 Python 安 装 路 径 下 的 site-packages/ansible/plugins/ 


其 次 编辑 ansible.cfg 定 义 插件 存放 目录 ， 上 默认 配置 如 下 。 


ansible.cfg 中 在 默认 定义 的 插件 目录 下 编写 自己 的 插件 。 


action plugins 
callback plugins 
connection plugins 
lookup plugins 


/usr/share/ansible plugins/action plugins 
/usr/share/ansible plugins/callback plugins 
/usr/share/ansible plugins/connection plugins 
/usr/share/ansible plugins/lookup plugins 
vars plugins /usr/share/ansible plugins/vars plugins 
filter plugins /usr/share/ansible plugins/filter plugins 
strategy plugins = /usr/share/ansible plugins/strategy plugins 


为 官方 提供 了 很 规范 的 代码 模板 供 我 们 参考 ， 新 插件 的 编写 其 实 就 是 在 模板 的 基础 上 进行 改写 而 已 ， 所 以 不 必 有 过 重 的 心理 负担 。 默 认 情 况 下 插件 案例 
录 下 ,如 /usr/lib/python2.6/site-pac 


ages/ansible/plugins/。 


最 后 ， 从 GitHub 下 载 对 应 类 型 的 模板 到 对 应 的 


录 修改 即 可 ， 在 模板 的 基础 上 修改 即 可 。 下 面 我 们 看 案例 。 


8.4 插件 案例 实践 


对 于 插件 这 部 分 的 应 用 ， 目 前 官方 网 站 介绍 的 也 不 是 很 详细 ， 而 且 不 使 
们 只 要 学 习 一 些 对 我 们 来 说 比较 重要 的 比如 Filter、Callbacks 等 即 可 。 


插件 一 样 可 以 完成 我 们 的 所 有 工作 ， 但 插件 的 好 处 在 于 在 编写 YML 文 件 时 可 以 减少 我 们 的 工作 量 ， 而 且 结果 易于 展示 ， 所 以 我 


对 于 lookup_plugins 插 件 的 使 


， 笔 者 不 做 细 讲 ,日 常 


set fact: 


data: "{{ lookup('file', 'filename') }}" 


上 述 yml 内 容 ， 我 们 只 要 把 filename 蔡 换 成 自己 的 文件 就 可 以 完成 读 取 文件 内 容 的 功能 了 。 


我 们 着 重 来 讲 filter 揪 件 的 使 F 


在 普通 情况 下 ， 我 们 主要 是 以 {{fsomevars|filter}}x 对 somevars 使 


到 的 情况 不 是 很 多 ， 我 们 可 以 作为 读 取 文件 内 容 的 插件 来 使 有 


。 例 如 读 取 文 件 filename 的 内 容 : 


， 它 将 在 我 们 编写 YML 文 件 时 ， 介 绍 我 们 的 工作 量 。 我 们 把 过 滤 方 法 都 提取 出 来 写成 公共 的 方法 。 


filter 方 法 过 滤 ，Ansible 已 经 为 我 们 提供 了 很 多 的 过 滤 方 法 ， 比 如 找到 列表 中 最 大 、 最 小 数 的 max、min， 把 数据 转换 成 JJON 格 式 的 


fromjson 等 ， 但 这 还 远 远 不 够 ， 我 们 还 需要 自 定义 一 些 过 滤 的 方法 ， 来 满足 一 些 特殊 的 需求 ， 比 如 查找 列表 中 大 于 某 个 常数 的 所 有 数字 等 。 我 们 接 下 来 就 会 以 这 个 为 简单 的 例子 ， 为 读者 展示 如 何 去 编 写 。 


首先 ， 到 ansible.cfg 中 去 掉 #， 打 开 filter_plugins 的 存放 目录 ,filter_plugins=/usr/share/ansible/plugins/filter。 


我 们 来 编写 deal_list_num.py 文 件 ， 它 主要 提供 过 滤 列 表 中 的 正 数 、 负 数 和 查询 列表 中 大 于 某 一 个 给 定数 值 这 3 个 方法 。 来 看 下 /usr/share/ansible/plugins/filter/deal list_num.py。 


class FilterModule (object): 
def filters (self): # 把 使 用 的 方法 写 在 这 个 return 中 
filter map = { 
'positive': self.positive, 
'negative': self.negative, 
'no less than': self.no less than 
} 
return filter map 
def positive(self, data): 
r data = [] 
for item in data: 
if item >= 0: 


r data.append (item) 
return r data 
def negative (self，data) : 
r data = [] 
for item in data: 
if item <= 0: 
r_data.append (item) 
return r data 
def no _ less thanl(self, data，num) : ## 第 1 个 变量 为 传 入 的 数值 ， 第 2 个 为 条 件 1 
r data = [] 
for item in data: 
if item >= num: 
r data.append (item) 
return r data 


我 们 编写 deal_list_num.yml 来 使 用 我 们 上 面 的 3 个 方法 : positive、negative 和 no _less_than。 


deal list_ num.yml 文 件 的 内 容 如 下 : 


— hosts: localhost 
gather facts: False 


tasks: 
- name: set fact 
set fact: 


zum Lists [1 = S13; 1] 

- name: echo positive 

shell: echo {{num list| positive}} 
register: print positive 
debug: msg="{{print positive.stdout lines[0]}}" 
- name: echo negative 加 
shell: echo {{num list| negative}} 
register: print negative 
debug: msg="{ {print negative .stdout lines[0]}}" 
name: echo negative 
shell: echo {{num list| no less than(4)}} 
register: print negative 
- debug: msg="{ {print negative ‘stdout lines[0]}}" 


运行 ansible-playbook deal list_ num.yml 后 返回 的 结果 如 下 : 


PLAY [1OCalhOSt] 光 炎 六 炎炎 炎 六 六 六 六 闪闪 闪闪 次 交 交 交 交 交 次 次 闪 六 六 六 闪 闪闪 次 次 交 次 闪 次 次 次 闪 六 六 太 闪 闪闪 次 认 次 次 交 闪光 次 交 商 次 六 六 六 太太 


TASK: [SEt faCt] 六 六 六 炎炎 六 交 交 次 商 六 六 六 六 内 训 闪闪 次 交 次 风灾 次 次 商 闪 商 六 六 内 六 闪 六 交 次 次 交 交 交 次 商 亦 闪 六 闪 六 六 六 闪 次 次 次 交 次 交 商 商 

ok: [localhost 
TASK: [echo JOSitiVe] 交大 类 光大 类 次 交火 交 交 六 炎 交 次 太 交 交 光 克 交 奖 次 交 次 光 闪闪 次 交 光 炎 次 交 炎 交 六 类 软 六 交大 交 交大 炎 闪闪 
changed: [localhost] 
TASK: [debug msg="{{print positive.stdout lines[0]}}™] **wk 炎 火光 灾 灾 火 闪光 火灾 燃 炎炎 火光 炎炎 光 
ok: [localhost] => { 

"msg": "[5, 3, 1]" 
} 
TASK: [echo negativVe] **# 炎 大 灿 大 类 大 交 光 次 交 六 炎 交 次 类 交 次 次 交 次 六 克 交 次 光 交 次 类 商 交 光 交 次 交 炎炎 次 关 次 交 次 类 次 交大 交 六 六 克 克 
changed: [localhost] 
TASK: [debug msg="{{print negative.stdout lines[0]}}™] **wk 炎 炎炎 灾 灾 火 交 炎炎 交 燃 炎炎 炎 交 交大 光 
ok: [localhost] => { 

"msg": "[-1, -2]" 
} 
TASK: [echo negativVe] **# 炎 大 炎 大 大奖 交 次 次 交 次 光 交 次 炎 次 交 大 次 次 六 交 次 次 光 次 类 商 交 光 交 次 交 炎炎 次 关 光 次 炎 次 六 大 次 次 太 克 克 
changed: [localhost] 
TASK: [debug msg="{{print negative.stdout lines[O]}}™"] *%ww 交 由 娄 实 尖 六 光 宙 珊 风 奖 沁 次 雪 风 寥 
ok: [localhost] => { 

"msg": "[5]" 
} 
另 一 个 比较 重要 的 插件 就 是 callback 插 件 ， 该 部 分 内 容 比较 重要 ， 而 且 与 后 续 代 码 开发 结合 比较 紧密 ， 所 以 我 们 将 放 在 第 12 章 结合 例子 进行 详细 介绍 。 其 他 插件 我 们 一 般 用 到 的 也 比较 少 ， 也 不 做 过 多 

介绍 了 。 


8.5 本章 小 结 


本 章 内 容 介绍 的 比较 简单 ， 因 为 我 们 真正 在 实际 应 用 中 不 会 用 到 太 多 ， 但 笔者 还 是 希望 大 家 掌握 几 个 比较 重要 的 插件 ， 比 如 filter 和 callback 揪 件 ， 灵 活 应 用 这 两 款 插件 将 会 给 我 们 编写 YML 带 来 极 大 的 
方便 ， 我 们 可 以 以 极 少 且 极 易 看 懂 的 YML 语 法 来 完成 一 些 看 上 去 比较 复杂 的 功能 。 这 可 能 需要 一 些 Python 的 基础 ， 但 读者 可 以 按照 8.4 节 的 内 容 来 模仿 着 编写 ， 相 信也 不 会 很 难 。 


第 9 章 ”Ansible 企 业 应 用 实战 


经 过 前 8 章 对 Ansible 从 最 基础 的 发 展 史 ， 到 Ad-Hoc、Inventory、YAML、Playbook、Roles 等 中 高 级 用 法 的 学 习 实践 ， 截 止 到 本 章 ， 恭 喜 诸位 终于 开启 了 Ansible 企 业 应 用 实战 的 学 习 之 旅 。 在 接 下 来 
的 章节 中 ， 各 位 将 相继 接触 为 新 系统 添加 安全 认证 SSHKey 及 Ansible 与 行业 主流 技术 的 组 合 ， 如 ELK、Zabbix、GFS、Docker、Git 等 ， 但 都 不 会 特别 深入 地 介绍 到 方方面面 ， 因 为 每 个 公司 的 业务 特色 都 大 
相 径 庭 ， 相 信 经 过 前 8 章 的 内 容 及 实战 引导 ， 现 在 的 你 应 对 起 来 早已 经 绰绰有余 。 而 在 第 12~ 14 章 将 为 大 家 介绍 Ansible 的 Web 自 动 化 ， 带 大 家 实现 最 终 的 Web 自 动 化 。 接 下 来 ， 我 们 先 开 始 本 章 的 企业 应 


9.1 “为 新 系统 添加 安全 认证 SSHKey 


关于 这 节 有 必须 先 解释 下 ， 相 信 “老司 机 ”心中 早 有 数 种 招式 ， 精 通 Shell 的 Expect 可 一 招 制 敌 ， 懂 Python 的 Paramiko、Expect 以 现成 模块 套用 方便 之 极 ，Ruby 通 过 Net-ssh 也 是 很 方便 ， 但 对 于 新 手 
来 讲 可 就 没有 如 此 多 套路 了 。 当 然 ， 这 其 中 的 大 部 分 招式 在 本 节 都 会 介绍 到 。 其 实 ，Ansible 自 身 也 支持 密码 认证 ， 只 是 Ansible 基 于 SSHKey 认 证 的 机 制 容 易 让 人 忽略 其 密码 认证 的 功能 ， 加 之 官网 对 该 功能 
的 引导 确实 不 到 位 ， 所 以 该 功能 并 不 “出 名 ”， 但 稍 经 深 挖 还 是 能 找到 的 。 本 节 我 们 也 将 先 为 大 家 介绍 该 方案 。 


9.1.1 Ansible 密 码 认证 


其 他 时 间 建 议 使 用 SSHKey 认 证 方式 。 我 们 具体 看 下 该 方式 如 何 实现 。 


因为 密码 在 Inventory 是 明文 配置 的 ， 考 虑 到 安全 性 等 其 他 原因 ， 该 方式 只 建议 在 首次 添加 SSHKey 认 证 时 使 


步骤 1: 配置 Inventory， 默 认 配 置 /etc/ansible/hosts， 添 加 配置 如 下 。 


# 定义 db 组 
[gb] 


192.168.37.142 
192,168.37:159 


# 冒号 分 隔 ,Vars 定 义 变量 ,改变 db 主机 组 的 默认 变量 


[db:vars] 


# 指定 默认 ssh 用 户 为 magedu 
ansible ssh user="magedu" 


# 指定 ssh 用 户 密码 


ansible ssh pass="magedu@beijing" 


步骤 2: 测试 默认 变量 是 否 生效 ,执行 以 下 命令 。 


ansible db -m command 


-a "whoami' 


查看 当前 用 户 的 返回 结果 


， 如 图 9-1 所 示 为 正常 。 


ec mwTITCTITERTE 一 PR 
[root@linuxlst ~]# ansibie db -m command -a “whoaml 
192 .168.37 . 
magedu 


192 .168 .3 了 37 ， 


magedu 


142 | success | rc=0 >> 


159 suUCCess | rc=0 >> 


图 9-1 查看 当前 用 户 


步骤 3: 调用 Ansible authorized_key 模 块 ， 添 加 认证 至 远程 主机 。 


ansible db -m authorized key -a "user=magedu key='{{ lookup('file', '/home/magedu/.ssh/id rsa.pub') }}' path=/home/magedu/.ssh/authorized keys manage dir=no" 


或 者 调用 Ansible copy 和 shell 模 块 也 可 以 实现 。 


# coPY 公 钥 至 远程 主机 /tmp 


目录 下 


ansible db -m copy -a "src=/home/magedu/ .ssh/id rsa.pub dest=/tmp/id rsa.pub" 


# 添加 公 钥 


ansible db -m Shell -a "cat /tmp/id rsa.pub >> /home/magedu/ .ssh/authorized keys" 


剩 下 就 是 验收 了 ， 在 Master 机 执行 如 下 命令 尝试 是 否 能 直接 登录 ， 无 密码 登录 即 为 正常 。 


ssh magedu@192.168.37.142 


9.1.2 ssh-copy-id 


户 的 公 钥 至 远程 服务 器 ， 同 时 修改 ~/.ssh 的 目录 权限 。Linux 入 门 必 备 ， 因 其 功能 的 局 限 性 ， 主 机 较 多 时 频繁 输入 密码 较 麻 烦 ， 主 机 量 少 时 可 以 使 用 。 具 体 方法 如 下 。 


命令 ssh-copy-id 用 于 复制 指定 


命令 使 用 方法 : 


/usr/bin/ssh-copy-id [-i [identity file]] [user@]machine 


为 用 户 magedu 生 成 认证 (假设 本 地 已 存在 公私 钥 ) 。 


ssh-copy-id -i /home/magedu/.ssh/id rsa.pub magedu@192.168.37.142 


如 上 即 已 实现 认证 ， 如 大 量 主机 ， 请 自行 写 批量 认证 脚本 或 参考 本 节 其 他 方式 。 


9.1.3 Kickstart 


试想 ， 如 果 每 个 新 系统 都 需 添 加 认证 ， 这 是 一 件 何等 麻烦 的 事情 。 那 为 什么 不 让 这 些 新 系统 “与 生 俱 来 ”就 拥有 该 认证 呢 ? 这 是 一 个 好 问题 ， 作 为 RedHat 下 主要 的 自动 化 安装 配置 工具 的 Kickstart 可 以 
帮 有 我 们 完成 该 任务 。 完 整 的 Kickstart 可 以 通过 system-config-kickstart 图 形 界 面 生成 ， 因 非 本 书 重点 这 里 不 做 介绍 ， 更 多 详细 的 内 容 可 参考 红 帽 官方 Kickstart 介 绍 []。 假 设 我 们 已 经 生成 了 一 份 Kickstart 文 


件 ， 那 么 在 已 有 的 配置 添加 如 


下 代码 即 可 : 


/bin/cat <<EOF > /root/.ssh/authorized keys 
ssh-rsa AAAAB3NzaClyc2EAAAABIwAAAOEAx4A5ghrl1jpBM]1dWpZ1WC3gS6HWhluhOuS5uDGjphXFCYWTQ3FOorfysVOmxJF2FHM]1RAOxVr3zWQNdUuGQ1vENWlWEmeFqEdyrgKUTCdZDQOHdeeSPRKa4M1GscMaGtHQwOl1W2Sbx60SLcPr 


EOF 
/bin/chmod 700 /root/.ssh/authorized keys 


gend 


如 上 代码 帮 有 我 们 在 新 系统 安装 的 时 候 内 置 了 一 份 证 书 给 ROOT 用 户 ， 当 然 也 可 以 指定 认证 任意 用 户 。 另 外 考虑 到 该 功能 的 复杂 度 ， 建 议 同 时 添加 主 备 Master 管 理 机 的 认证 ， 以 防 出 现 主 Master 管 理 机 意 
外 宕 机 造成 大 面积 认证 失败 一 时 无 法 恢复 的 情况 ， 同 时 私 钥 也 建议 加 密 后 异地 保存 。 在 实现 阶段 ， 不 少 公司 搭建 自己 的 私有 云 OpenStack、VMware vSphere 等 ， 或 已 使 用 公有 云 AWS、UCIloud、 阿 里 


云 、 腾 讯 云 等 。 更 常用 的 技术 是 镜像 克隆 ， 所 谓 的 镜像 克隆 可 简单 理解 为 将 安装 好 的 系统 作为 模板 ， 有 需要 时 拿 来 复制 一 份 新 系统 即 可 ， 这 些 系 统 镜像 也 往往 会 经 过 一 些 简单 的 改造 ， 如 初始 化 目录 、 


户 、 认 证 ， 甚 至 是 进程 ， 根 据 业 务 模块 生成 不 同 的 自 定义 系统 镜像 ， 最 终 实现 工作 量 的 最 小 化 和 质量 的 最 可 靠 性 。 


9.14 Python Paramiko 


Paramiko 是 用 Python 语言 


连接 到 另外 一 个 平台 。 利 


写 的 一 个 模块 ， 
该 模块 ， 可 以 方便 地 进行 SSH 连 接 ， 以 及 通过 SFTP 协 议 进行 SFTP 文 件 传输 。 


遵循 SSH2 协 议 ， 支 持 以 加 密 和 认证 的 方式 进行 远程 服务 器 的 连接 。Paramiko 支 持 Linux、Solaris、BSD、MacOS X、Windows 等 平台 通过 SSH 从 一 个 平台 


我 们 通过 如 下 sshclient.py 获 取 192.168.37.142 主 机 名 和 1IP 信 息 的 脚本 来 了 解 其 使 用 。 


# !/usr/bin/python 
# -+ oding: utf-8 ~#— 
import paramiko 
def sshe (ip,username,passwd, cmd): 
trys 
ssh = paramiko.SSHClient () 
ssh.set missing host key Policy (paramiko.AutoAddPolicy()) 
ssh.connect (ip, 22, username, passwd) 
stdin, stdout, stderr = ssh.exec command (cmd) 
print stdout.read() 
print "%s\tOoK\n"% (ip) 
ssh.close () 
except : 
rint "%s\tError\n"% (ip) 
sshe ("192.168.37.142", "linuxlst", "redhat", "hostname;ifconfig") 


输出 结果 类 似 如 下 为 正常 : 


linuxlst 
192.168.37.142 OK 


SSHClient 方 法 下 的 connect 提 供 很 多 功能 参数 ， 本 案例 使 用 了 ip、port、username、passwd。 


另外 也 为 大 家 准备 了 一 个 批量 执行 命令 的 Python 脚本 ， 请 自行 拉 取 四 。 


不 加 任何 参数 直接 运行 会 出 现 如 图 9-2 所 示 的 用 法 说 明 。 


[root@linuxlst pyscripts-example]# python mabs_v7.py 
:二 Le 帘 克 丰 详实 


Usage: i 
mabs .py command iplist 


1s /home/linuxlst/datafile/songtaoli/ 
:/home/linuxlst/pylear/paramiko/sftp/sftp_v2.py /home/linuxlst/sftp_v2.py 


: iplist: 
192.168.37.142 linuxlst redhat 22 


图 9-2 mabs_v7.py 用 法 说 明 


9.1.5 Expect 


Expect 是 UNIX 系 统 中 用 来 进行 自动 化 控制 和 测试 的 软件 工具 ， 作 为 Tcl 脚 本 语言 的 一 个 扩展 应 用 在 交互 式 软件 中 ， 如 Telnet、FTP、Passwd、FSCK、Rlogin、TIP、SSH 等 。 该 工具 和 
装 其 子 进程 ， 允 许 任意 程序 通过 终端 接 入 进行 自动 化 控制 ; 也 可 利用 Tk 工 具 ， 将 交互 程序 包装 在 X11 的 图 形 用 户 界 面 中 。 


性 


UNIX 伪 终端 包 


Expect 有 利用 正则 表达 式 进行 模式 匹配 以 及 通用 的 编程 功能 ， 人 允许 用 简单 的 脚本 智能 地 管理 如 下 工具 : Telnet、FTP 和 SSH (这 些 工具 都 缺少 编程 的 功能 ) ， 宏 以 及 其 他 程序 。Expect 脚 本 的 出 现 使 得 
这 些 老 的 软件 工具 有 了 新 的 功能 和 更 多 的 灵活 性 。 


Expect 方 式 相对 古老 ， 但 对 于 不 会 Python 等 语言 但 有 Bash 经 验 的 人 士 来 说 是 不 错 的 选择 。 通 过 如 下 expect.sh 来 了 解 Expect 的 使 用 。 


# !/usr/bin/expect 
# 设置 要 连接 的 远程 主机 IP 信 息 


set IP [ lindex $argv 0 ] 
# 设置 要 连接 的 远程 主机 登录 用 户 
set USER [ lindex $argv 1 ] 


# 设置 要 连接 的 远程 主机 登录 用 户 的 密码 信息 
set PASSWD [ lindex $argv 2 ] 
# 设置 要 执行 的 命令 
set CMD [ lindex $argv 3 ] 
# Spawn 是 expect 内 部 命令 ， 开 局 ssh 连 接 
spawn ssh $USER@$IP $CMD 
# 判断 上 次 执行 结果 
expect { 
# 如 果 有 yes 或 no 关键 字 
"(yes/no)?" { 
# 则 输入 yes 
send "yes\r" 
# 输入 完 yes 后 如 果 输 出 结果 有 : password: 关键 字 
expect "password:" 
# 则 输入 密码 文件 
send "$PASSWD\r" 


} 
# 如 果 上 次 输出 结果 有 : password: ， 则 输入 密码 
"password:" {send "$PASSWD\r"} 
# 如 果 上 次 输出 结果 有 : * to host ,， 则 退出 
"* to host" {exit 1} 


expect eof 


代码 注解 已 通过 注释 的 方式 添加 ， 执 行 方式 如 下 : 


./expect.sh 192.168.37.142 linuxlst redhat /sbin/ifconfig 


它 唯一 不 友好 的 地 方 是 密码 明文 ， 因 环境 变量 没有 加 载 所 以 执行 命令 需 添加 绝对 路 径 。 不 过 这 个 问题 通过 强化 expect.sh 脚 本 均 可 解决 。 笔 者 曾 使 用 过 一 个 700 行 的 Expect Shell 脚 本 ， 堪 称 经 典 中 的 经 
因 版 权 问题 这 里 不 做 呈现 。 
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为 新 系统 添加 认证 的 办 法 何其 多 ， 如 上 只 是 抛砖引玉 ， 接 下 来 我 们 进一步 学 习 企业 高 可 用 架构 的 Ansible 应 用 。 


1] 红 帆 官方 Kickstart 介 绍 网 址 : https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Installation_Guide/s1-kickstart2-options.html。 
P tp’ P 


[2] Git 网 址 : git@github.com:stanleylst/ansibleUI.git。 


9.2 ”企业 高 可 用 架构 的 Ansible 应 用 


在 企业 实际 应 用 中 ， 工 程 师 非常 注重 架构 的 元 余 性 和 可 扩展 性 ， 这 也 使 得 生产 环境 的 架构 往往 比较 复杂 但 又 不 失灵 活 ， 这 就 要 求 管 理工 具 也 能 够 满足 这 些 条 件 。 本 节 我 们 参考 开源 爱好 者 分 享 的 案例 来 
为 大 家 介绍 通过 Ansible 部 署 一 套 完整 的 企业 高 可 用 架构 的 方法 。 涉 及 的 流行 技术 有 : Varnish、Apache、PHP、Memcached、MySQL。 本 次 案例 的 架构 拓扑 图 如 9-3 所 示 。 


Apache/PHP (Web2) 


Apache/PHP (Web1l) 


Database 


Memcached (Cache) MySQL (Master) MySQL (Slave) 


9-3 高 可 用 架构 


“ Varnish 在 前 端 接 入 层 同时 扮演 负载 均衡 和 反 向 代理 的 角色 ， 将 接收 到 的 请 求 路 由 至 后 面 WebServers。 
“ Apache 结 合 PHP 的 经 典 WebServers 架 构 对 外 提供 Web 服 务 。 
“ 通过 Memcached 的 Cache 功 能 过 滤 数 据 库 查询 请 求 负载 后 ， 再 将 请 求 转发 至 后 端 MySQL 数 据 库 。 


"MySQL 是 通用 主 从 架构 ， 通 常 采 用 InnoDB 存 储 引 擎 ， 主 从 时 时 同步 ， 以 主 写 从 读 的 方式 来 缓解 压力 和 提高 存储 层 的 可 用 性 。 


9.2.1 “Playbook 目 录 编排 


按照 惯例 ， 我 们 先 来 编排 Playbook 目 录 结 构 。 


lamp-infrastructure/ 
inventories/ 
playbooks/ 
db/ 


memcached/ 

varnish/ 

Www/ 
provisioners/ 
configure.yml 
provision.yml 
requirements.yml 
Vagrantfile 


按 这 种 目录 编排 的 优势 是 方便 我 们 聚焦 单个 服务 器 配置 ， 在 构建 Playbook 时 可 使 


9.2.2 ”高 可 用 架构 基于 Ansible 的 自动 化 实现 


现在 开始 配置 Playbook。 为 提高 效率 ， 开 发 者 已 为 我 们 提供 了 相关 配置 ， 我 们 


可 用 。 我 们 将 基于 Varnish+Apache+PHP+Memcache+ 
1.Varnish 


编辑 playbooks/varnish/main.yml 文 件 ， 添 加 如 下 内 


只 需 从 Ansible Galaxy 下 载 下 来 即 可 ， 这 些 配置 基于 


不 同 的 Inventory。 另 外 ， 也 可 以 使 Playbook 之 间 完 全 独立 ， 模 块 化 配置 ， 提 高 功能 复 


图 


MySQL 来 实现 。 下 面 我 们 依据 图 9-3 高 可 用 架构 自 上 而 下 配置 这 些 服务 。 


二 


容 : 


FCentOS6.x 系 统 ，Ubuntu、Debian 或 者 新 版 的 CentOS 稍 做 改动 也 


- hosts: lamp-varnish 
become: yes 
vars files: 
=- vars.yml # 变 
roles: 


量 定义 文件 
geerlingguy.firewall 
geerlingguy.repo-epel 
geerlingguy.varnish 


template: 
src: "templates/default.vcl.j2" 
dest: "/etc/varnish/default.vcl" 
notify: restart varnish 


# 配置 防火 墙 ， 相 关 变 量 定义 在 Vars.yml 文 件 中 
# 添加 EPEL 源 
# 安装 配置 Varnish 


name: Copy Varnish default.vcl. # 通过 Jinja 模 板 生成 varnish 配 置 文件 并 传送 至 


# 远程 服务 器 


该 YML 完 成 配置 防火 墙 ， 添 加 EPEL 库 后 安装 配置 Varnish， 并 通过 jinja 生 成 Varnish 的 default.vc 配 置 文件 ， 完 成 负载 均衡 配置 和 其 


的 内 容 。 在 main.yml 同 级 目录 下 编辑 vars.ym| 文 件 ， 内 容 如 下 : 


反 向 代理 的 功能 。 该 YML 定 义 调 


的 vars.ym| 是 接 下 来 我 们 需要 定义 


firewall allowed tcp ports: 
nD 


ngO" 
varnish use default vcl: false 


条 恋 量 j 


第 1 条 变量 通过 geerlingguy.firewall role 打 开 IPTABL 


条 变量 


ES TCP 协 议 的 22 和 80 的 入 链 权限 。 第 2 


通过 geerlingguy.varnish role 配 置 Varnish 使 


定义 default.vcl| 配 置 。 接 着 配置 default.vcl.j2 模 板 


文件 ， 通 过 Jinja 模 板 转换 可 以 帮 我 们 完成 default.vcl 的 配置 ， 在 playbooks/varnish/templates/ 目 录 下 编辑 default.vclj2 模 板 ， 内 容 如 下 : 


1 vcl 4.0; 

2 

3 import directors; 

一 

5 {% for host in groups['lamp-www'] %} 

6 backend www{{ loop.index }} { 

3 .host = "{{ host }}"; 

8 .port = "80"; 

9 } 

10 {$$ endfor $%} 

业主 

12 sub vcl init { 

13 new vdir = directors.random(); 

14 {% for host in groups['lamp-www'] $%} 

15 vdir.add backend (www{{ loop.index }}, 1); 
16 {$$ endfor %} 

1 

18 

19 sub vcl recv { 

20 set req.backend hint = vdir.backend(); 
21 

22 # For testing ONLY; makes sure load balancing is working correctly. 
23 return (pass); 

24 


我 们 这 里 不 深入 讲解 Varnish 的 VCL 语 法 ， 关 于 Jinja 配 置 的 部 分 这 里 简单 说 明 如 下 。 


“ 第 1~3 行 声明 我 们 在 使 用 VCL4.0 版 本 ，Import Varnis 
' 第 5~10 行 定义 后 端的 Web Server 及 端口 号 。 


' 第 12~17 行 定义 vcl_init， 当 Varnish 启 动 和 初始 化 任何 


directors 模 块 。 


' 第 19~24 行 vcl_recv 被 调度 ， 响 应 所 有 Varnish 接 收 的 请 求 至 vdit 定 义 的 backend 服 务 器 。 


模块 时 vcl_init 即 被 调用 。 这 里 ， 我 们 定义 负载 均衡 器 vdit， 前 面 定 义 的 www backends 服 务 器 为 后 端 Web Server， 使 用 random 调 度 方式 。 


该 案例 中 我 们 有 意 调 整 Varnish， 只 使 
毕竟 Varnish 的 卖点 在 于 缓存 机 制 。 


其 负载 均衡 的 


2.Apache/php 


在 playbooks/www/ 目 录 下 ,编辑 main.yml 内 容 如 下 


— hosts: lamp-www 
become: yes 


功能 ， 这 是 为 了 更 方便 地 验证 Varnish 的 请 求 调度 流向 ， 所 以 在 实际 生产 应 


中 ， 请 删除 最 后 的 return (pass) ， 优 化 为 业务 实际 所 需 后 再 加 以 使 


Vars files: 
= vars.yml 
roles: 
- geerlingguy.firewall 
— geerlingguy.repo-epel 
- geerlingguy.apache 
- geerlingguy.php 
- geerlingguy.php-mysql 
- geerlingguy.php-memcached 


=- name: Remove the Apache test page. 
file: 
path: /var/www/html/index.html 
state: absent 
- name: Copy our fancy server-specific home page. 
template: 
src: templates/index.php.j2 
dest: /var/www/html/index.php 


和 Varnish 一 样 ，Apache/PHP 也 需要 配置 防火 墙 和 EPEL 源 ， 部 分 代码 解释 如 下 。 


" geerlingguy.apache: 安装 配置 Apache Server。 


“ geerlingguy.php: 安装 配置 PHP。 


“ geetlingguy.php-mysql: 添加 PHP 的 MySQL 禁 件 支 持 。 


“ geerlingguy.php-memcached: 添加 PHP 的 Memcached 插 件 支持 。 


最 后 的 两 条 Tasks 命 令 删 除 Apache 默 认 的 index.html 配 置 ， 蔡 换 为 index.php。 在 该 YML 文 件 同 级 目录 下 ， 


我 们 编辑 其 调用 的 变量 配置 文件 vars.yml 内 容 如 下 : 


fi 


rewall allowed tcp ports: 
nD 
"gO" 


index.php.j2 模 板 文件 位 于 playbooks/www/templates/ 目 录 下 ， 该 文件 使 用 Jinja 格 式 创建 PHP 文 件 ， 来 


展现 服务 器 的 健康 状态 。 其 内 容 如 下 : 


* @file 
* 搭 过 测试 页 面 
四 


* 不 要 在 生产 环境 中 使 用 这 段 代码 ， 它 只 是 个 简单 的 原型 
3 


Smysql_servers = array( 

{% for host in groups['lamp-db'] $%} 
rt oat FIs 

$$ endfor %} 

); 

$mysql results = array(); 


foreach ($mysql servers as $host) { 
if ($result = mysql test connection ($host)) { 
Smysql_results[$host] = '<span>PASS</span>'; 
Smysql_results [$host] .= (' . $result['status'] . ')'; 
} 
else 1{ 
Smysql_ results[$host] = '<span>FAIL</span>'; 
} 
// 连接 Memcached 
$memcached result = '<span>FAIL</span>'; 
if (class exists('Memcached')) { 
Smemcached = new Memcached; 
$memcached->addServer ('{{ groups['lamp-memcached'] [0] }}', 11211); 
// 测试 为 memcached 添 加 新 变量 
if ($memcached->add('test', 'success', 1)) 1 
$result = $memcached->get ('test'); 
if ($result 一 'success') { 
$memcached result = '<span>PASS</span>'; 
$memcached->delete ('test'); 
} 
. 
} 
jt 
* 连接 到 MySQL 服 务 器 并 测试 连接 
四 
* Q@param string $host 
* 服务 器 的 TP 地址 或 主机 名 
四 
* Q@return array 
* 'success' (bool) 和 'status' ('slave' or 'master') 数 组 
* ”连接 失败 返回 空 
$f 
function mysql_test_connection ($host) { 
$username = 'mycompany user'; 
Spassword = 'secret'; 
try { 
$db = new PDO( 
'mysql:host=' . $host . ';dbname=mycompany database', 
$username, 
S$password, 
array (PDO: :ATTR_ ERRMODE => PDO: :ERRMODE EXCEPTION)); 
// 询问 服务 器 被 配置 的 状态 master 或 slave 
$statement = $db->prepare ("SELECT variable value 
FROM information schema.global variables 
WHERE variable name = 'LOG BIN';"); 
$statement->execute (); 
$result = $statement->fetch(); 
return array( 
'success' => TRUE, 
'status' => ($result[0] == 'ON') ? 'master' : 'slave', 
); 
} 
catch (PDOException $e) { 
return array(); 
} 
} 
2 
<!DOCTYPE html> 
<html> 
<head> 
<title>Host {{ inventory hostname }}</title> 
<style>* { font-family: Helvetica, Arial, sans-serif }</style> 
</head> 
<body> 
<hl>Host {{ inventory hostname }}</h1l> 
<?php foreach ($mysql results as $host => $result): ?> 
<p>MySQL Connection (<?php print $host; ?>): 
<?php print $result; ?></p> 


89 <?php endforeach; ?> 

90 “<p>Memcached Connection: <?php print $memcached result; ?></p> 
91 </body> 

92 </html> 


这 些 代码 大 家 都 可 通过 ansibleUIl 1 下载， 我 们 来 快速 浏览 下 该 配置 做 了 什么 事情 : 

“ 第 9~23 行 遍历 Inventory 定 义 的 lamp-db 所 有 MySQL 主 机 ， 测 试 其 连接 性 。 

: 第 25~39 行 测试 Inventory 定 义 的 lamp-memcahed 所 有 Memcached 主 机 create、tetrieve、delete 权 限 是 否 正常 
“ 第 41~76 行 定义 mysql_test_connection () 函数 测试 MySQL Server 状 态 ， 判 断 主 从 关系 。 


' 第 78~91 行 生成 MySQL、Memcached 的 测试 结果 ， 并 通过 一 个 简易 的 Web 页 面 展 示 出 来 。 


3.Memcached 


相对 于 Varnish、PHP， 配 置 Memcached 要 简单 很 多 ,创建 playbooks/memcached/main.yml 配 置 文件 即 可 。 内 容 如 下 : 


Yr Bs 
2 - hosts: lamp-memcached 

3 become: yes 

4 

5 vars files: 

6 - vars.yml 

7 

8 roles: 

9 - geerlingguy.firewall 
10 - geerlingguy.memcached 


该 YML 只 有 两 个 Roles: 一 个 开放 防火 墙 确认 端 


可 通 ; 


firewall allowed tcp ports: 
2 


firewall additional rules: 
=- "iptables -A INEUT -p tcp --dport 11211 -s {{ groups['lamp-www'] [0 
— "iptables -A INPUT -p tcp --dport 11211 -s {{ groups['lamp-www'] [1 
memcached listen ip: "{{ groups['lamp-memcached'] [0] }}" 


一 个 配置 memcached 的 Roles。 配 置 其 变量 文件 vars.ym| 内 容 如 下 : 


}} -j AcCCEPT" 
}} -JJ ACCEPT™ 


远程 服务 器 22 端 口 必须 开放 ， 以 供 远 程 SSH 连 接 所 需 。 另 外 开放 了 Memcached 


4.MySQL 


的 11211 端 口 ， 供 Web Server 进 程 通 信使 用 。 考 虑 到 安全 因素 ,我们 限制 源 IP 为 lamp-www 组 定义 的 主机 。 


MySQL 的 配置 更 为 复杂 ， 因 为 除了 基本 架构 配置 外 ， 我 们 还 需要 为 其 配置 每 个 


户 信息 及 主 从 复制 关系 ， 同 时 希望 Playbook 组 织 架 构 足够 灵活 可 配置 。 也 因为 业务 需求 ， 我 们 需 


境 下 都 可 以 动态 获取 服务 器 的 IP 信 息 。 


先 来 配置 playbooks/db/main.ym| 文 件 。 


和 

2 - hosts: lamp-db 

3 become: yes 

4 

5 vars files: 

6 - vars.yml 

7 

8 pre tasks: 

9 - name: Create dynamic MySQL variables. 

10 set fact: 

11 mysql users: 

12 - name: mycompany user 

13 host: “{{ groups['lamp-www'] [0] }1}" 
14 password: secret 

15 Erive "SELECT 

16 - name: mycompany user 

17 host: “{{ groups['lamp-www’'] [1] }}" 
18 password: secret 

19 Perel PSRLECT™ 

20 mysql_replication master: "{{ groups['a4d.lamp.db.1°'] [0] }}" 
21 
世 2 zoles: 
23 - geerlingguy.firewall 
24 - geerlingguy.mysql 


MySQL 在 不 同 的 环 


我 们 在 pre_tasks 中 额外 使 


六 虽 . 
个 变量 : 


了 set fact 来 动态 生成 变量 信息 。set_ fact 允许 Playbooks 在 被 调用 时 定义 变量 ， 


即 我 们 可 以 为 所 有 服务 器 生成 相关 变量 ， 


即使 新 加 入 的 服务 器 也 可 生效 。 这 里 我 们 创建 了 两 


“ mysql_users 指 定 的 用 户 列表 被 geetlingguy.mysql 调 用 创建 ， 同 时 在 所 有 的 DB 服务 器 上 执行 ， 即 两 台 lamp-www 服 务 器 会 拥有 所 有 DB 的 读 权限 。 


“ mysqgl_replication_master 被 geerlingguy.mysql 用 来 指定 主 从 关系 ， 并 根据 不 同 的 角 


其 他 的 常规 变量 我 们 依旧 定义 在 playbooks/dby/vars.yml 文 件 中 。 


色 进 行 不 同 的 配置 。 


firewall allowed tcp ports: 
nD 
~ 3306" 
mysql_ replication user: {name: 'replication', password: 'secret'} 
mysql databases: 
— name: mycompany database 
collation: utf8 general ci 
encoding: utf8 


这 里 我 们 开放 了 3306 端 
MySQL 创 建 时 的 字符 集 等 基础 配置 信息 。 


各 应 


独立 模块 配置 完毕 后 ， 我 们 就 可 以 开始 顶层 Playbook 的 配置 工作 了 。 


9.2.3 “使 用 Includes 衔 接 各 服务 配置 


， 不 做 限制 ， 根 据 权 限 最 小 化 原则 ， 建 议 只 针对 特定 的 机 器 开放 端 


。 另 外 两 个 MySQL 变 量 ， 


mysql_replication_user, 


于 M/S 之 间 数 据 同步 ，mysql_databases 用 了 


Co 
日 正 


好 的 Playbooks 通 过 简单 的 Includes 即 可 完成 整体 架构 的 配置 工作 。 在 项 目的 根 目录 ( 即 playbooks 的 同 级 目录 ) 下 配置 configure.yml， 内 容 如 下 : 


— include: playbooks/varnish/main.yml 
— include: playbooks/www/main.yml 

=- include: Playbooks/db/main.yml 

=- include: Playbooks/memcached/main.yml 


到 目前 为 止 ， 如 果 你 的 服务 器 运行 正常 ，lamp-www、lamp-db 等 Inventory 均 已 配置 ， 那 么 现在 运行 命令 ansible-playbook configure.yml， 就 可 以 完成 HA 高 可 用 架构 的 配置 工作 了 。 


但 其 实现 有 的 Playbooks 可 以 更 加 灵活 强大 ， 限 于 篇 幅 我 们 将 所 有 的 Roles 已 经 上 传 Ansible Galaxy， 通 过 ansible-galaxy install-r requirements.yml 即 可 下 载 安 装 YML 中 所 有 Galaxy Roles。 
requirements.ym| 内 容 如 下 : 


1 
1 
1 


src: geerlingguy.firewall 

src: geerlingguy.repo-epel 

src: geerlingguy.varnish 

src: geerlingguy.apache 

: geerlingguy.php 

src: geerlingguy.php-mysql 

src: geerlingguy.php-memcached 
src: geerlingguy.mysql 

src: geerlingguy.memcached 


和 
四 
名 
[el 


命令 执行 完毕 后 ，Galaxy Roles 默 认 存放 在 /etc/ansible/roles/。 


[1] ansibleUI 网 址 : https://github.com/stanleylst/ansibleUI， 其 原始 网 址 : https://github.com/geerlingguy/ansible-for-devops。 


9.3 ”ELK 日 志 系 统 基于 Ansible 的 自动 化 实现 


Web 应 用 、 数 据 存储 、 架 构 高 可 用 及 可 拓展 性 无 疑 是 1T 架 构 中 最 为 核心 关键 的 组 成 部 分 ， 随 互联 网 的 高 速 发 展 ， 架 构 不 断 演变 至 今 ， 企 业 的 架构 越 来 越 复杂 化 、 多 样 化 ， 对 IT 的 技能 要 求 也 越 来 越 高 ， 
更 需要 技术 人 员 在 错综复杂 的 问题 中 快速 定位 问题 所 在 ， 这 就 要 求 有 一 款 日 志 收 集 分 析 系统 能 帮助 运 维 快 速 定位 问题 ，ELK (Elasticsearch、Logstash、Kibana) 就 是 众多 工具 中 的 佼佼 者 。 这 节 为 大 家 介 
绍 ELK 日 志 系统 基于 Ansible 的 自动 化 实现 。 


与 前 面 章节 介绍 案例 的 方式 有 所 不 同 ， 自 第 9 章 开 始 会 认为 读者 具备 Ansible 基 础 ， 因 涉及 代码 较 多 所 以 不 逐 行 分 析 ， 所 有 代码 请 从 GitHub[1] 获 取 (将 ansibleUI/roles/ 目 录 下 的 所 有 代码 复制 至 自 定义 
的 ROLES 目 录 下 即 可 ) ， 本 书 只 为 大 家 介绍 构架 及 逻辑 重点 。 本 次 介绍 的 ELK 架 构 ELK-Infrastructure 如 图 9-4 所 示 。 


ELK STACK/LOGSTASH SERVER CLIENT SERVERS 


App Server 


User Nginx < 一 一 Kibana <—— ElasticSearch<—— Logstash 


DB Server 


mj 
Es 
©_ 
ST 
© 
名 
~ 


Reverse Search Store Logs Process : 
Proxy and and 

Ship Logs 

Visualize Logs Index Logs es 


图 9-4 ELK-Infrastructure 
“Filebeat Shipper: Logstash-forward 的 替代 版 ， 作 为 Client 安 装 在 需 收集 日 志 的 服务 器 上 ， 采 集 日 志 并 发 送 给 Logstash。 
" Logstash: 二 次 处 理 收集 的 日 志 。 
“ ElasticSearch: 储存 收集 的 日 志 。 
“ Kibana: 提供 可 视 化 的 日 志 搜索 查询 平台 。 
该 架构 下 需要 Ansible 完 成 的 功能 点 如 下 : 
“ 安装 Java、ElasticSearch、Logstash、Kibana、Nginx、Filebeat 软 件 包 。 
“CA 自 签名 认证 。 
“ 通过 htpasswd 为 Kibana 生 成 认证 登录 用 户 。 
“ 配置 ELK、Nginx、Filebeat 相 互 间 配 置信 息 。 
加 载 Kibana Dashboards 模 板 信 息 。 


接 下 来 我 们 先 配置 Server 端 ， 再 配置 Client 端 。 


9.3.1 ”ELK Server 的 自动 化 实现 


先 来 看 ELK Server 的 主 配置 文件 ansibleUl/elk-example/elk.yml。 


ph 
这 
3 - hosts: elkserver 
4 gather facts: yes 
5 


切 执 


vars files: 
- vars/main.yml 


roles: 
- geerlingguy.java 
- geerlingguy.nginx 
- geerlingguy.elasticsearch 
- stanley.kibana 
- geerlingguy.1logstash 
- stanley.logstash-filebeat 


该 YML 首 先 假定 Inventory 中 elkserver 已 经 预先 设 定 。 在 该 YML 中 第 6~7 行 定义 的 变量 文件 vars/main.yml 内 容 如 下 : 


java packages: 


- java-1.8.0-openjdk 


nginx user: nginx 

nginx worker connections: 1024 
nginx remove default vhost: true 
kibana server name: logs 

kibana username: kibana 

kibana password: password 
logstash monitor local syslog: false 


指定 需 安装 的 Java 版 本 号 、Nginx 模 板 中 定义 的 变量 、kibana 的 登录 用 户 信息 等 。 


上 述 YMZ 第 10~15 行 引 
ElasticSearch、Kibana、Logstash、Logstash-filebeat 系 统 。 


geerlingguy.java、geerlingguy.nginx、geerlingguy.elasticsearch、stanley.kibana、geerlingguy.logstash、stanley.logstash-filebeat Roles， 分 别 配置 Java、Nginx、 


这 时 如 果 你 已 经 迫不及待 想 看 效果 的 话 ， 那 么 直接 执行 ansible-playbook elk.ym| 就 可 以 看 到 ELK 的 初步 页 面 效 果 了 。 不 过 这 条 命令 要 执行 的 大 概 30 分 钟 甚至 更 长 时 间 ， 因 为 要 不 停 地 下 载 安装 。 如 果 一 


行 正常 ， 类 似 如 下 绑 定 本 机 logs.magedu.com 域 名 : 


192.168.37.167 1ogs.magedu .com 


浏览 器 显示 ELK 效 果 图 如 图 9-5 所 示 。 


到 这 步 就 离 成 功 已 经 很 到了， 但 还 没有 结束 ， 


troduction 


TEXT 


一 四 国 
KiIbANG 
Did you just upgrade? Not expecting this screen? 


fyou were using the old defauit page you might not be expecting 
this screen | understand, change can be awkward. Let me 
explain 


Setting a global default dashboard 


Kibana has always shipped with an interface for Logstash. still 
doesl You can accessi here. However if you want to make i 
your default again, al you need to do is rename a filel In your 
Kibana installation directory- 


Rename logstash json to default json and refresh Should be all 
set 

But wait, there's more! 

In fact you can add any exported dashboard to that directory and 
access tas httpYOUR-HOST - 


PEREindexhim#adashboarde/YOUR-DASHBOARD json. Neat 
trck eh? 


为 关于 ELK 的 深入 应 


TEXT 


Welcome to Kibana. 


Glad you could make tt Happy to have you here! Lets get started, shall we? 
Requirements 


， Agood browser 
The latest version of Chrome or Firefox is recommended Safari (latest version) and Intemet Explorer 9 and above are also 
supported. 
A webserver. 
Just somewhere to host the HTML and Javascript Basically any webserver will work_ 
Elasticsearch 
0.90.9 or above 


Configuration 


if Kibana and Elastcsearch are on the same nost and you're using the default Elasticsearch port then you're all set Kibana Is 
configured to use that setup by derautt! 


If not, you need to edit conrig js and set the efasticsearcn parameter with the URL (including port, probably 9200) of your Elasticsearch 
Server The host part should be the entire, Tuly qualmed domaln name, orIP not localhost 


Are you a Logstash User? 
" YES -Great! We have a prebuilt dashboard: | 上 D d). See the note to the right about making i your global default 
* NO - Hey, no problem, you just have a bit of setup to do. You have a few choices: 


攻 - hb I dom have muchn data yet, Please extract some basics for me 
2. Unconfg Dasnboard | have a /ot of gata and | gon't want Kibana to query it at once 
3. Bla )Oard Mm comfortable fiourma it out on mY own 


9-5 ELK 效果 图 1 


网 


还 有 很 长 的 路 要 继续 ，ELK 效 果 | 


( 见 图 9-6) 只 是 一 个 案例 ， 你 能 做 的 更 多 。 
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图 9-6 ”ELK 效果 图 2 


为 了 快速 演示 效果 ， 我 们 将 该 案例 所 有 的 组 件 部 署 到 一 台 服 务 器 上 ， 如 果 需 要 收集 多 台 服 务 器 的 日 志 如 何 快速 实现 呢 ? 


9.3.2 ”ELK Client 的 自动 化 实现 


ELK 日 志 收 集 功能 的 组 件 是 Filebeat， 类 似 在 ELK Server 端 的 部 署 方式 ， 在 Inventory 定 义 好 elkclient 后 对 其 执行 stanely.logstash-filebeat 这 个 ROLE 即 可 。 整 体 elk_filebeat.yml 内 容 如 下 : 


=- hosts: elkclient 
gather facts: yes 
vars files: 
- vars/main.yml 
roles: 
- stanley.logstash-filebeat 


关于 ELK 的 自动 化 部 署 代码 介绍 到 这 里 结束 。 在 如 上 部 署 中 涉及 安全 性 问题 ， 大 家 需 修 改 两 点 : 
“ CA 自 签名 证 书目 录 位 于 /etc/pki/logstash/ ， 请 务必 使 用 自己 的 证 书 ; 


“ 通过 htpasswd 为 Kibana 生 成 认证 登录 用 户 默认 用 户 名 /密码 为 : kibana/password， 请 修改 后 使 用 。 


关于 ELK 的 更 深入 学 习 请 参考 ELK 官 网 由 ， 如 上 ELK 所 有 代码 请 至 stanleylst 的 GitHubB] 下 载 源码 。 因 Logstash 软 件 包 较 大 且 官 方 下 载 较 慢 ， 网 络 不 佳 的 朋友 可 从 网 盘 地 址 [人 下载。 


[1] GitHub 网 址 : https://github.com/stanleylst/ansibleUI.git。 

[ELK 官 网 : https://www.elastic.co/。 

[3] Stanleylst 的 GitHub 网 址 : https://github.com/stanleylst/ansibleUI.git。 
[和 Logstash 网 盘 网 址 : http://pan.baidu.com/s/1eSLPQ8M。 


9.4 ”实时 日 志 系统 基于 Ansible 的 自动 化 实现 


ELK 日 志 系统 主要 基于 实时 日 志 处 理 分 析 及 展示 系统 ， 想 真正 发 挥 其 威力 投入 不 能 少 。 在 企业 当中 还 有 另外 一 些 场景 : 除了 DEV 测 试 环境 的 日 志 ，TEST 测 试 环境 的 日 志 某 些 时 候 需要 开发 人 员 协 助 排查 
上 日志， 但 考虑 安全 流程 因素 ， 这 些 机 器 的 登录 权限 是 不 能 开放 给 开发 人 员 的 ， 这 时 我 们 需要 一 套 更 轻 量 级 的 日 志 同 步 展 示 系 统 ，lnotify+ Rsyncd+log.io 可 以 满足 我 们 的 需求 。 本 次 为 大 家 展示 其 基于 
Ansible 的 自动 化 实现 。 


9.4.1 配置 概览 


本 次 的 架构 Logio Infrastructure 如 图 9-7 所 示 。 


Log Client 


Log Server 


Inotify+rsync | App Server 


User 


Nginx 熏 一 一 一 Log.io 专 ————— RsyncD 


Inotify+rsync | DB Server 


Nginx Proxy ”Log 可 视 化 平台 Rsyncd 日 志 接 收 收集 日 志 


图 9-7 Logio Infrastructure 
“ Inotify+Rsync: Inotify 是 监控 状态 变化 的 文件 ， 结 合 Rsync 同 步 指 定 的 文件 至 Log Server。 
“ RsyncD LogServer: 开启 Rsync Daemon 服 务 ， 用 于 免 密码 交互 文件 接收 。 
“ Logio: 提供 日 志 展 示 平 台 。 


“ Nginx: 反 向 代理 请 求 至 Logio， 方 便 用 户 访问 。 


9.4.2 ”架构 部 署 


Server 和 Client 端 拆 分 不 同 的 Roles 方 便 部 署 ， 具 体 的 目录 结构 如 下 : 


log client.yml 

log server.yml 

roles/logsync/ | 一 defaults | -一 一 main.yml | 一 一 files | | 一 一 epel-release-6-8.noarch.rpm | epel .repo | 一 rsync_client.pwd | 上 一 rsyncd.conf | -一 
logio.conf.j2 

logio.sh.j2 


-一 一 logsync.sh.j2 

roles/logclient/ | 一 一 defaults | -一 一 main.yml | 一 files | 一 一 epel-release-6-8.noarch.rpm | | 一 一 epel.repo | 上 一 rsync_client .pwd | 
logio.conf.j2 

logio.sh.j2 

logsync.sh.j2 


rsync exclude.lst | 


将 Roles 下 代码 下 载 至 对 应 目录 后 可 直接 进行 相关 部 署 。Server 端 部 署 方式 如 下 : 


ansible-playbook log_ server.yml 


Client 端 部 署 方式 如 下 : 


ansible-playbook 1og_client.yml 


其 对 应 的 Logio 组 件 功能 表 如 图 9-8 所 示 。 


main.yml 1 ) Include 调用 logio.yml、rsyncd.yml 配置 


log serv 1 ) Init Repo; 


er.yml ks 2.) Install Npm, Neginx, logio; 
3 ) Config logio; 


PP 1 ) 配置 Rsync Daemon 
m 


main.yml 1 ) Include 调用 logclient.yml、epel.yml 配置 


log clie toss epel.yml 2 ) Init Repo 


logclient 3 ) 配置 Inotify, logio-client, Rsyns 同步 
.yml 


图 9-8 Logio 组 件 功能 表 


“ 就 架构 而 言 ，Server 端 的 网 络 带 宽 和 磁盘 容量 容易 成 为 整体 架构 的 壮 颈 ， 所 以 该 架构 不 适合 生产 环境 的 大 体 量 应 用 日 志 收 集 同步 (可 使 用 ELK 做 二 次 收集 过 滤 ) 。 
“ Inotify+Rsync 针 对 百 万 量 级 小 文件 同步 会 有 性 能 瓶颈 ， 但 数 十 台 的 TEST 测 试 服务 器 其 优异 性 能 基本 上 不 受 影响 。 


“日 志 的 收集 展示 有 一 定 的 独立 性 需求 ， 如 使 用 该 案例 请 查阅 files/rsync_client.pwd、files/rsyncd.secrets、files/rsyncd.conf、files/rsync_exclude.lst、templates/logio.sh.j2、templates/logsync.sh.j2， 并 修改 为 自 
己 所 需 后 使 用 。 


户 可 优化 该 案例 ， 并 继续 扩展 其 功能 ， 如 : Crontab 定 期 重启 、 日 志 切 割 及 定期 清理 等 。 当 然 也 能 结合 Supervisor 就 更 好 了 。 更 多 想法 大 家 也 可 以 在 GitHub 留 言 或 扫描 前 言 中 的 二 维 码 关 注 后 留言 。 


[1] Logserver 代 码 : https://github.comy/stanleylst/ansibleUIV/tree/mastetr/roles/logsync。 


[ 引 Logclient 代 码 : https://github.com/stanleylst/ansibleUI/tree/master/roles/logclient。 


9.5 ”Zabbix 基 于 Ansible 的 自动 化 实现 


Zabbix 是 一 个 基于 Web 界 面 的 、 提 供 分 布 式 系统 监视 以 及 网 络 监视 功能 的 企业 级 开源 解决 方案 ， 在 企业 级 监控 领域 扮演 日 益 重要 的 角色 ， 官 方 网 址 为 http://www.zabbix.com， 目 前 最 新 版 本 为 3.0。 
作为 运 维 必 备 技能 ， 本 节 为 大 家 介绍 如 何 通 过 Ansible 实 现 Zabbix-server、Zabbix-agent、zabbix-proxy 的 批量 部 署 配置 。 


Zabbix 在 企业 常用 架构 图 如 图 9-9 所 示 。 


由 


Zabbix S | Repository | 
ender 一 一 一 


9-9 Zabbix 架 构图 


主要 组 件 功能 如 下 。 
“ Zabbix Server: 负责 接收 Agent 发 送 的 报告 信息 的 核心 组 件 ， 所 有 配置 、 统 计数 据 及 操作 数据 均 由 其 组 织 进 行 ; 
“ Database Storage: 专用 于 存储 所 有 配置 信息 ， 以 及 由 Zabbix 收 集 的 数据 ; 
Web interface (frontend) : Zabbix 的 GUI 接 口 ， 通 常 与 Server 运 行 在 同一 台 机 器 上 ; 
“ Zabbix Proxy: 可 选 组 件 ， 常 用 于 分 布 式 监控 环境 中 ， 代 理 Server 收 集 部 分 被 监控 数据 并 统一 发 往 Server 端 ; 


“ Zabbix Agent: 部 署 在 被 监控 主机 上 ， 负 责 收集 本 地 数据 并 发 往 Server 端 或 者 Proxy 端 。 


本 节 将 为 大 家 依次 介绍 Zabbix Server、Zabbix Agent、Zabbix Proxy 基 于 Ansible 的 批量 部 署 配 置 实现 。 


9.5.1 Zabbix Server 基 于 Ansible 的 自动 化 实现 


我 们 选择 Ansible Galaxy 的 dj-wasabi.zabbix-server 完 成 Zabbix Server 的 安装 配置 工作 。 该 Roles 支 持 Debian、EL、Ubunbu 系 统 ， 支 持 的 Zabbix2.2、2.4、3.0 版 本 ， 支 持 的 DB 类 型 有 MySQL、 
PgSQL。 本 次 我 们 要 部 署 的 项 目 配置 如 下 : 


系统 : Centos 6.8 64bit 
Apache: 2.4.6 
PHP: 5.6.23 
MySQL: 5.1.73 
Zabbix agentd: 3 
Zabbix_ server: 3.0. 


开始 前 准备 工作 如 下 : 


1) 保持 网 络 畅通 稳定 。 


2) 执行 如 下 命令 ， 确 认 如 下 端口 均 没有 被 占用 (返回 空 表示 没有 占用 ) 。 


ss -atnulp | grep -E '80|10050|10051|3306|9000' 


3) 确定 交换 机 、 路 由 器 或 本 地 防火 墙 (80|10050|10051|3306|9000) 端口 可 对 外 提供 服务 。 


正式 部 署 步骤 如 下 。 


步骤 1: 从 Ansible-galaxy 下 载 并 安装 dj-wasabi.zabbix-server。 


ansible-galaxy install dj-wasabi.zabbix-serVer 


步骤 2: 安装 dj-wasabi.zabbix-serveri 畜 Roles 的 依赖 。 


mkdir -P /data/ansibleUI/zabbix-server/ 

cd !$ 

cp /etc/ansible/roles/dj-wasabi .zabbix-server/requirements.yml ./ 
ansible-galaxy install -r requirements.yml 


步骤 3: 设置 系统 SELINUX 权 限 为 permissive 或 disabled， 不 然 启动 服务 会 有 权限 问题 。 


# 临时 生效 

setenforce 0 

# 永久 生效 

sed -i 's/SELINUX=enforcing/SELINUX=disabled/' /etc/selinux/config 


步骤 4: 编辑 Inventory 文 件 (/etc/ansible/hosts) ， 配 置 zabbix-server。 添 加 如 下 内 容 : 


[zabbix-server] 
192.168.37.167 


步骤 5: 配置 zabbix-server 基 础 服务 信息 ， 修 改 配置 文件 dj-wasabi.zabbix-server/defaults/main.yml， 其 他 项 如 各 自 所 需 配 置 。 建 议 修改 项 如 下 : 


Zabbix url: zabbix.magedu.com 
zabbix Url aliases: [] 

zabbix version: 3.0 

Zabbix timezone: Asia/Shanghai 
server dbhost: localhost 

server dbname: zabbix-server 
server dbschema: 

server dbuser: zabbix-server 
Sserver dbpassword: zabbix-server 


dj-wasabi.zabbix-server/defaults/main.yml 的 文件 共 92 行 ， 该 文件 主要 定义 了 以 下 内 容 : 
“ Zabbix 服 务 登 录 域 名 ; 

“ 服务 时 区 ; 

“ 是 否 开 户 web、vhost、repo; 

“ DB 类 型 (PgSQL/MySQL) ; 

“ 服务 监听 端口 (10051) 及 PID 文 件 存放 目录 ; 

“日志 级 别 及 日 志文 件 存放 目录 ; 


“ DB 数据 库 命 名 及 诸多 服务 配置 项 ， 这 里 不 做 一 一 介绍 。 


步骤 6: 编辑 zabbix-server/vars/main.yml 变 量 文件 及 zabbix-server/main.yml 主 配置 文件 。 


zabbix-server/vars/main.yml 变 量 文件 内 容 如 下 : 


mysql_root password: magedu@beijing 
mysql databases: 
— name: zabbix 
encoding: utf8 
collation: utf8 general ci 
mysql users: 
- name: zabbix-server 
host: 和" 
password: zabbix-server 
priv: "example db.*:ALL" 


Zabbix-server/main.yml 主 配置 文件 内 容 如 下 : 


— hosts: zabbix-server 

vars files: 

- vars/main.yml 
tasks: 
- name: Create Repo 
copy: src={{ item }} dest=/etc/yum.repo.d/{{ item }} 
with items: 

epel-httpd24.repo 
remi-php70.repo 
remi .repo 
remi-safe.rep 
- name: Install PHP56 

yum: name={{ item }} state=present 

with items: 
Php56.x86 64 
Php56-php-bcmath.x86 64 
Php56-php-cli.x86 64 
Php56-php-common .x86 64 
Php56-php-devel .x86 64 
php56-php-embedded.x86 _64 
Php56-php-fpm.x86 64 
php56-php-gd.x86 64 
php56-php-mbstring.x86 64 


| 


和 


Php56-php-mcrypt .x86 64 
php56-php-mysqlnd.x86 64 
php56-php-odbc.x86 64 
Php56-php-opcache.x86 64 
php56-php-pdo.x86 64 
Php56-php-pear.noarch 
php56-php-pecl-jsonc.x86 64 
Php56-php-pecl-jsonc-devel .x86 64 
php56-php-pecl-zip.x86 _ 64 
Php56-php-pgsql .x86 64 
php56-php-process.x86 64 
php56-php-xml .x86 64 
Php56-runtime.x86 64 
- name: Install Apache24 
yum: name={{ item }} state=present 
with items: 
— httpd24 
- httpd24-httpd 
- httpd24-httpd-tools 
— hosts: zabbix-server 
become: yes 
vars files: 
= vars/main.yml 
roles: 
- { role: geerlingguy.mysql } 
hosts: zabbix-server 
sudo: yes 
roles: 
- { role: geerlingguy.apache } 
- { role: dj-wasabi.zabbix-server, zabbix url: zabbix.magedu.com, database_ 
type: mysql, database type long: mysql } 


该 YML 没 有 参考 dj-wasabi 的 zabbix-server 官 方 安装 ， 而 是 加 入 了 Apache2.4 和 PHP5.6 的 安装 工作 ， 因 


完整 的 代码 。 


步骤 7: 部 署 安装 Zabbix-Server。 


为 我 们 希望 使 用 Apache 最 新 的 php-fpm 功 能 。 因 为 改动 较 大 ， 所 以 该 节 代码 建议 从 GitHub 下 载 


ansible-playbook main.yml 


到 此 ， 所 有 部 署 工作 结束 ， 部 署 过 程 因 需 下 载 软件 包 ， 因 此 部 署 时 长 根据 网 络 状况 长 短 不 一 ， 期 


间 请 保证 网 络 稳定 畅通 。 安 装 结束 后 打开 浏览 器 访问 http://zabbix.magedu.com/index.php ( 需 事先 


绑 定 本 机 HOSTS，HOSTS 文 件 添加 内 容 192.168.37.167zabbix.magedu.com) ， 输 入 预先 设 定 的 


图 


户 名 、 密 码 后 ， 会 看 到 如 图 9-10 所 示 的 Zabbix Dashboard。 


CC 从 | B zabbix.magedu.com/zabbix.php?action=dashboard.view 


pA Ne Monitoring 


Dashboard 


Inventory ”Reports 


Dashboard 


Favourite graphs System status 


No graphs added HOST GROUP ”DISASTER 


Favourite Screens 
No screens added Host status 


Screens Slide shows HOST GROUP WITH 


Favourite maps 
No maps added 
Last 20 issues 


HOST ISSUE 


图 9-10 


因为 还 没有 Agent 汇 报 数据 ， 所 以 


9.5.2 Zabbix Agent 基 于 Ansible 的 自动 化 实现 


我 们 同样 使 
类 型 有 MySQL、PgSQL， 不 依赖 其 他 第 三 方 。 


Agent 的 配置 相对 简 重 体操 作 步骤 如 下 。 


1 


步骤 1: 从 Ansible-galaxy 下 载 并 安装 dj-wasabi.zabbix-agent。 


LAST CHANGE 


Ansible Galaxy 的 dj-wasabi.zabbix-agent 完 成 Zabbix Agent 的 安装 配置 工作 。 该 Roles 支 持 RedHat、Debian、Ubunbu、opensuse 系 统 ， 支 持 Zabbix2.2、2.4 


HIGH AVERAGE “ WARNING “ INFORMATION ”NOT CLASSIFIED 
No data found 


Updated: 21:16:44 


OUT PROBLEMS WITH PROBLEMS 


No data found 


AGE ACTIONS 


No data found 


Zabbix Dashboard 


9-10 中 我 们 看 到 Host 和 Group 列 表 都 是 空 的 。 接 下 来 部 署 完 Zabbix Agent 后 ， 我 们 会 看 到 Agent 列 表 。 


、3.0 版 本 ,支持 的 DB 


ansible-galaxy install dj-wasabi .zabbix-agent 


步骤 2: 设置 系统 SELINUX 权 限 为 permissive 或 disabled， 不 然 启动 服务 会 有 权限 问题 。 


# 临时 生效 

setenforce 0 

# 永久 生效 

sed -i 's/SELINUX=enforcing/SELINUX=disabled/' /etc/selinux/config 


步骤 3: 编辑 Inventory 文 件 (/etc/ansible/hosts) ， 配 置 zabbix-server。 添 加 如 下 内 容 : 


[zabbix-agent] 
1924168.37.167 
192.168.37.159 


步骤 4: 编辑 zabbix-agent/group_vars/all 变 量 文件 及 zabbix-agent/main.yml 主 配置 文件 。zabbix-agent/group_vars/all 内 容 如 下 : 


cat group vars/all 
agent server: 192.168.37.167 
agent serveractive: 192.168.37.167 
zabbix url: http://zabbix.magedu.com 
Zabbix api use: False 
zabbix api user: Rdmin 
Zabbix api pass: magedu 
zabbix create host: present 
Zabbix host groups: 

— Linux Servers 
zabbix link templates: 

— Template OS Linux 

- Apache APP Template 
Zabbix macros: 

- macro_ key: apache type 

macro value: reverse proxy 


该 YML 定 义 Zabbix Server 信 息 ，Zabbix 访 问 地 址 及 用 户 名 密码 信息 ， 是 否 使 用 Zabbix API 模 板 等 。 


zabbix-agent/main.yml 内 容 如 下 : 


— hosts: zabbix-agent 
remote user: root 
tasks: 
- name: Pip install zabbix-api 
pip: name=zabbix-api 
— hosts: zabbix-agent 
remote user: root 
roles: 
- role: dj-wasabi .zabbix-agent 


步骤 5: 部 署 安 装 Zabbix-agent。 


ansible-playbook main.yml 


至 此 ，Zabbix Agent 部 署 完 毕 ， 大 家 可 以 打开 http://zabbix.magedu.com/， 并 添加 对 应 (如何 添 加 请 参考 Zabbix Quickstartl1]) 的 Agent， 并 查看 其 状态 是 否 正常 。 如 一 切 正常 ， 可 以 看 到 Zabbix 
Dash board Agents， 如 图 9-11 所 示 。 


€ SC | zabbix.magedu.com/zabbix.php?action=dashboard.view&ddreset=1 


pA Ne Monitoring Inventory ”Reports Configuration Administration 


Dashboard 


Dashboard 


Favourite graphs Status of Zabbix 
No graphs added. PARAMETER DETAILS 
Zabbix server is running 192.168.37.167:10051 


Number ofhosts (enabled/disabled/iiemplates) 211138 
Favourite Screens 


Number ofitems (enabled/disabled/not supported) 01010 
No screens added. 


Number of triggers (enabled/disabled [problem/ok]) 0/10[0/0] 
Screens Slide shows 


Number of users (online) 2 1 


Favourite maps 
Required server performance, new values per second 0 


No maps added. 
Updated: 23:21:43 


System status 


Host status 


HOST GROUP WITHOUT PROBLEMS WITH PROBLEMS TOTAL 


Zabbix servers 


图 9-11 Zabbix Dash board Agents 


当然 ， 这 里 更 完善 的 做 法 是 配置 Zabbix Server 为 自动 发 现 ， 当 扫描 到 指定 网 段 有 新 主机 时 即 自动 添加 到 Hosts/Groups 列 表 。 大 家 可 自行 研究 完善 ， 这 些 优化 点 不 一 一 介绍 。 


9.5.3 Zabbix Proxy 基 于 Ansible 的 自动 化 实现 


Zabbix Proxy 在 Zabbix 套 件 中 属于 可 选 组 件 ， 常 用 于 分 布 式 监控 环境 中 ， 代 理 Server 收 集 部 分 被 监控 数据 ， 并 统一 发 往 Server 端 。 在 企业 服务 器 数量 较 多 、Zabbix Server 遇 到 性 能 流量 |O 等 瓶颈 时 多 
会 用 到 。 


Zabbix Proxy 的 配置 我 们 依然 采用 Ansible Galaxy 的 dj-wasabi.zabbix-proxy 来 完成 其 部 署 配 置 工作 。 该 Roles 支 持 Debian、EL、Ubuntu 系 统 ， 不 依赖 其 他 第 三 方 。 下 面 我 们 看 具体 的 安装 过 程 。 


步骤 1: 从 Ansible-galaxy 下 载 并 安装 dj-wasabi.zabbix-proxy。 


坎 起 一: 
ansible-galaxy install dj-wasabi.zabbix-proxy 方 式 二 ( 源 库 直接 使 用 会 报错 ， 所 以 推荐 该 方式 ) : 从 GitHub 下 载 同名 库 至 本 地 指定 的 Roles 目 录 下 。 


步骤 2: 编辑 Inventory (/etc/ansible/hosts) ， 添 加 Zabbix Proxy 主 机 配置 。 


[zabbix-proxy] 
192.168.37.159 


步骤 3: 编辑 dj-wasabi.zabbix-proxy/defaults/main.yml， 修 改 Zabbix Proxy 和 Zabbix Server 连 接 配置 。 选 项 较 多 ， 如 下 为 必 改 项 : 


Zabbix server host: 192.168.37.167 
Zabbix server port: 10051 
zabbix version: 3.0 


步骤 4: 修改 main.yml 主 配置 项 。 内 容 如 下 : 


— hosts: zabbix-proxy 
sudo: yes 
roles: 
- { role: dj-wasabi.zabbix-proxy, zabbix server host: 192.168.37.167 } 


步骤 5: 安装 Zabbix Proxy。 


ansible-playbook main.yml 


到 此 Zabbix Proxy 部 署 完 毕 ，Zabbix 所 有 的 部 署 工作 全 部 结束 。 如 果 一 切 顺 利 ， 那 么 修改 完 Zabbix Agent 上 报 地 址 和 Zabbix Server 的 Proxy 主 机 信息 后 就 可 正式 投入 使 用 。 如 果 不 那么 顺利 也 没有 关 
系 ， 简 单 的 报错 可 以 通过 前 面 所 学 知识 解决 。 


[1] Zabbix Quickstart 网 址 : https://www.zabbix.com/documentation/3.0/manual/ guickstart/host。 


9.6 ”Ansible+Git+GitLab 实 现 自动 化 发 布 


自动 化 发 布 几乎 是 所 有 运 维 或 早 或 晚 都 会 遇 到 且 需 自我 消化 的 一 大 难题 ， 在 自动 化 运 维 呼声 高 涨 的 时 代 ， 每 个 运 维 人 员 对 自动 化 都 有 自己 的 理解 ， 也 需要 有 自己 的 见解 。 自 动 化 理念 决定 着 运 维 人 员 有 
没有 好 日 子 过 ， 自 动 化 程度 决定 着 运 维 人 员 日 子 能 过 得 多 好 。 


根本 自动 化 发 布 与 各 家 公司 的 业务 独特 性 息 


本 节 为 大 家 介绍 Ansible 结 合 Git 和 GitLab 实 现 业务 发 布 自动 化 的 完整 案例 ， 该 案例 可 能 是 本 章 实 战 案例 中 最 复杂 的 ， 但 也 是 本 章 介 绍 的 最 简单 的 案例 ， 究 
息 相 关 ， 每 家 公司 不 能 一 概 而 论 ， 这 里 不 浪费 篇 章 ， 只 提供 实现 思路 供 大 家 参考 。 


9.6.1 架构 概览 


ReleaseAutomation 整 体 架构 如 图 9-12 所 示 。 该 项 目 帮助 运 维 人 员 实 现 一 键 自动 化 发 布 功 能 但 又 可 满足 任意 步骤 都 可 独立 分 拆 运行 ， 且 支持 简单 的 用 户 交 互 功能 。 具 体 的 功能 实现 如 下 。 


“git pull 从 GitLab 拉 取 指 定 分 支 代码 。 

“ 分 发 代码 至 对 应 主机 相应 目录 。 

“ 判断 是 否 有 DB 更 新 : 有 ， 备 份 数据 库 并 变更 DB; 无 ， 跳 过 DB 变更 并 跳 过 DB 备份 。 
:更 新 代码 。 

“ 生成 Crontab、Supervisor 等 配置 。 


“ 重启 进程 。 


9.6.2 ”架构 部 署 


开始 部 署 之 前 再 提醒 一 次 ， 该 Roles 因 业务 特性 不 尽 相 同 ， 所 以 从 GitHub 下 载 的 代码 无 法 直接 使 用 ， 如 需 使 用 请 结合 各 自 业 务 特性 改造 后 应 用 。 部 署 步骤 如 下 。 


步骤 1: 下 载 GitHub 代 码 至 本 地 ， 并 存放 于 相应 目录 ， 通 常 位 于 现 有 代码 主 目录 的 roles/ 目 录 下 或 /etc/ansible/roles/ 目 录 下 。 


git clone git@github.com:stanleylst/ansibleUI.git . 


下 载 后 的 目录 结构 应 类 似 如 下 : 


cp.yml 

gw.yml 

java-order.yml 

java-settle.yml 

roles/ | builgd Corpose | create tar | 一 一 crond 

http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15935/0EBPS/Text/... mysql | tomcat updatefile 


步骤 2: 编辑 group_vars/all， 配 置 项 目 Git 地 址 及 项 目 文件 存放 地 址 。 


git pull 
git push 


本 一 


SETTLE 


4-----……-- PHP 项目 …--…---b|4---- JAVA 项 目 


Ansible 发 布 机 制 


Ansible 


git 

pull 从 GitLab 拉 取 

者 定 分 文 代码 

分 发 代 但 至 对 应 主 

机 相应 目录 

判断 是 否 有 DB 更 新 : 

1) 有 ， 备 份 数据 库 并 settle.yml 

变更 DB ; 2) 无， 上 orderyml ~ 

过 DB 变更 并 跳 过 DB 可 

备份 加 | 

roles - - 

更 新 代码 ls 

group_var'! 
S 和 


gw.yml 
cp.yml 


-settle 


- Order 


生成 Crontab 、Supervisor 
等 配置 


重启 进程 


、 


order Servers 


gw Servers cp Servers settle Servers 


图 9-12 ”ReleaseAutomation 整 体 架构 


# 文件 中 的 变量 针对 所 有 主机 和 组 有 效 

flag: king 

javaflag: java 

tech: php 

damn: "-' 

git: git 

package dir: /srv/deploy/ 

project dir: /srv/www/ 

git commit: 084295f64f4cb953744a8dd71d9abelc549a0109 
king gw path: /srv/www/king-gw/ 

http port: 80 

repository gw: git@git.magedu.com:php/king-gw.git 
repository cp: git@git.magedu.com:php/king-cp.git 

# Java 项 目 配 置 

java settle package dir: /opt/java/ 

java settle project dir: /opt/webapps 

java package dir: /opt/java 

java project dir: /opt/webapps 

repository java: git@git.magedu.com:release-java/release 
repository java settle: git@git.magedu.com:release-java/release-settle.git 
repository java order: git@git.magedu.com:release-java/release-order.git 


步骤 3: 项 目 发 布 方式 如 下 。 


# gw 项 目 发 布 方式 如 下 

ansible-playbook gw.yml --extra-vars "project=gw git commit=b7e7ec76efbf2a317c71f247c2b8242362b00ae4" --tags="update pre,process" 

# cp 项 目 发 布 方式 如 下 

ansible-playbook cp.yml --extra-vars "project=cp git commit=48c2f2352d65d88062b89b503781f8cf598cac4b" --tags="update pre,process" 

# order 项 目 发 布 方式 如 下 

ansible-playbook java-order.yml --extra-vars "project=order git commit=cc2033bbb2dlcc5ff64cd6bda26f5e124bd18f2e" --tags="update pre,pstop,process,pstart™" 

# settle 项 目 发 布 方式 如 下 

ansible-playbook java-settle.yml --extra-vars "project=settle git commit=4d9e29fe52ea5d55296287e0ef6dcaa2872fe26b" --tags="update pre,pstop,process,pstart" 


此 ; 


本 案例 着 重 为 大 家 介绍 自动 化 发 布 思路 ， 具 体 的 代码 请 从 GitHub 下 载 阅读 。 需 要 单独 特别 说 明 的 是 发 布 方式 : 


“ 笔者 公司 的 PHP 和 Java 团 队 分 属 两 个 团队 ， 抛 开 团 队 管理 因素 不 提 ， 尽 管 两 种 语言 不 同 风格 ， 我 们 通过 Ansible 也 实现 了 发 布 方式 完全 相同 ， 对 操作 者 而 言 学 习 成 本 最 小 化 ， 无 论 哪 种 自动 化 工具 均 是 如 


“ 通过 git_commit 变 量 可 指定 发 布 更 新 任意 版 本 ; 


“ 通过 --tags 模 块 化 ， 可 指定 运行 Tasks 中 的 任意 步骤 。 


关于 自动 化 发 布 案例 介绍 到 此 结束 ， 但 该 方式 依旧 停留 在 脚本 化 层面 ， 我 们 所 有 的 自动 化 发 布 工具 要 多 考虑 操作 者 学 习 成 本 ， 因 此 在 后 续 的 第 10~11 章 也 会 为 大 家 介绍 Ansible 的 Web 化 自动 发 布 实现 ， 


但 需 具备 一 定 Python、Django 及 简单 前 端 基础 ， 深 一 点 ， 能 比 想象 中 得 到 的 更 多 。 


9.7” Docker 的 Ansible 自 动 化 应 用 


Docker 是 Paas 供 应 商 dotCloud 开 源 的 一 个 基于 LXC 的 高 级 容器 引擎 ， 源 代码 托管 在 GitHub 上 ， 基 于 Go 语言 开发 ， 并 遵从 Apache2.0 协 议 开源 。 本 章 不 深入 探讨 Docker 及 Linux 容 器 工作 原理 ， 但 会 基 


于 当前 两 大 前 沿 技术 为 大 家 带 来 两 者 结合 后 的 最 佳 技术 实践 ， 如 构建 、 管 理 、 部 署 容器 。 当 然 ， 开 始 之 前 我 认为 各 位 已 经 熟 读 并 已 安装 Docker[1] 的 相关 服务 。 
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1 ”Docker 容 器 入 门 


我 们 通过 几 组 简单 的 案例 来 了 解 下 Docker 的 工作 方式 。 我 们 会 先 使 用 Dockerfile 来 创建 容器 ， 然 后 Ansible 通 过 docker build 方 式 创建 容器 。 


编辑 文件 名 为 Dockerfile 的 配置 文件 ， 内 容 如 下 : 


# 创建 Docke 容 器 模板 

FROM busybox 

MAINTAINER Stanley <stanleylst@163.com> 
# 容器 启动 时 运行 的 命令 

CMD ["/bin/ping www.magedu.com"] 


该 容器 只 执行 了 ping 命 令 ， 但 不 影响 我 们 后 续 验 证 工作 ， 我 们 只 需要 对 比 Docker 和 Ansible 使 用 方式 间 差 别 即 可 。 在 该 Dockerfile 同 级 目录 下 ， 使 用 如 下 命令 创建 自己 的 DockerContainer。 


docker build -t test . 


执行 docker images 可 以 看 到 类 似 如 下 返回 结果 

REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE 
test latest 7494eee30eal 3 minutes ago 196.7 MB 
<none> <none> 3cb6b23285d2 5 minutes ago 1.113 MB 
<none> <none> 9705d8b4ac0f 27 minutes ago 1.113 MB 
centos latest 2a332dqa70fdl 5 days ago 196.7 MB 
busybox latest 437595becdeb 11 weeks ago 1.113 MB 


运行 创建 的 容器 。 


docker run --name=test test 


通过 docker ps-a 命 令 查看 所 有 容器 当前 运行 状态 。 


CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 
98b25del3alb test "/bin/ping www.maged 5 minutes ago best 


通过 CONTAINER ID (98b25de13a1b) 或 者 CONTAINER NAME (test) 可 以 操控 以 下 容器 。 
“启动 容器 : docker start[container] 
“ 停止 容器 : docker stop[container] 
“ 删除 容器 : docker rm[container] 
对 于 Docker 的 简单 介绍 到 此 已 经 足够 了 ， 我 们 做 个 简要 总 结 。 
. Dockerfiles: 通过 Dockerfile 中 预定 义 的 配置 生成 容器 。 
“ docker build: 创建 Dockerfile 生 成 容器 镜像 。 
“ dockerimages: 列 出 本 地 所 有 容器 镜像 。 
“ docker run: 运行 并 生成 新 容器 镜像 。 
“ docker ps-a: 列 出 所 有 运行 /停止 状态 的 容器 状态 信息 。 


“ 关于 Ansible 和 Docker 的 结合 方式 额外 需要 说 明 的 是 ， 使 用 Dockerfile 生 成 自 定义 的 容器 镜像 ， 使 用 Docker CLI 更 为 合适 ， 但 最 终 的 镜像 部 署 、 应 用 起 停 等 工作 与 Ansible 的 结合 能 更 有 效 地 提高 工作 效 


9.7.2 ”使 用 Ansible 创 建 和 管理 容器 


Ansible 内 置 docker 模 块 ， 用 以 管理 各 生命 周期 的 容器 ， 接 下 来 的 内 容 将 展示 其 与 Docker 的 结合 使 用 方式 ， 通 过 Ansible 完 成 9.7.1 节 Docker 的 创建 、 运 行 、 删 除 。 进 行 下 面 的 内 容 前 请 确认 docker-py 
模块 已 安装 ，Ansible Docker 模 块 依赖 其 执行 Playbook。 如 没有 安装 请 运行 命令 : pip install docker-py。 


Playbook 的 目录 结构 编排 如 下 : 


docker/ 
main.yml 
test/ 
Dockerfile 


Dockerfile 请 参考 上 节 ， 其 内 容 不 变 。 编 辑 main.yml 内 容 如 下 (内 容 无 行 号 ) : 


— hosts: localhost 
connection: local 
tasks: 
- name: Build Docker image from Dockerfiles. 
docker image: 
name: test 
path: test 
state: build 


该 Playbook 使 用 Ansible 内 置 的 docker_image 模 块 ， 指 定 test 目 录 下 的 Dockerfile 创 建 名 为 test 的 容器 。 运 行 命令 ansible-playbook main.yml 即 可 完成 容器 的 创建 。 使 用 docker imges 命 令 可 查看 列 
表 中 名 为 test 的 容器 。 


执行 docker ps-a 会 发 现 test image 非 启动 状态 ， 可 通过 如 下 Ansible Playbook 更 改 其 状态 : 


- name: Run the test container. 
gocker: 
image: test:latest 
name: test 
state: running 


执行 完毕 如 上 Playbook 后 ， 再 次 运行 docker ps-a， 可 以 看 到 test 容 器 的 状态 信息 。 同 时 ， 我 们 也 可 以 通过 设置 state 状 态 为 absent 来 删除 test 容 器 。 


9.7.3 ”基于 Ansible 创 建 Flask 的 Docker 容 器 


我 们 来 创建 一 些 功能 更 强大 的 Docker 容 器 : 一 个 容器 运行 我 们 的 App 应 用 (内 置 Flask， 轻 量 级 的 Python Web 构 架 ) ， 一 个 容器 运行 数据 库 (MySQL) ， 还 有 一 个 数据 存储 容器 。 之 所 以 需要 专门 的 
数据 存储 容器 是 因为 MySQL 存 储 的 数据 需要 永久 保存 ， 但 容器 重启 后 MySQL 的 数据 会 丢失 。 本 次 的 内 容 架构 Docker stack for Flask App 如 图 9-13 所 示 。 


Vagrant VM 


MySQL Contalner 


Data Contalner 


(for persistence) 


Flask Container 


Docker 


Ubuntu 14.04 


9-13 Docker stack for Flask App 


本 次 使 用 Ubuntu14.04 系 统 作 为 示例 ，Docker 的 Playbook 使 用 angstwad.docker_ubuntu 案 例 ， 执 行 ansible-galaxy install angstwad.docker_ubuntu 下 载 Roles 至 本 地 。 在 docker/provisioning 目 
录 下 编辑 main.yml 内 容 如 下 : 


- hosts: all 
sudo: yes 
roles: 
- role: angstwad.docker ubuntu 
tasks: 
- include: setup.yml 
=- include: docker.yml 


sudo: yes 是 Docker 的 安装 需求 ， 当 前 用 户 属 主 信息 需 变更 为 docker 组 。Angstwad 的 docker_ubuntu Roles 已 很 完善 ， 无 需 额外 配置 。 再 来 看 下 同 级 目录 下 的 setup.yml 内 容 : 


- name: Install Pip. 
apt: name=python-pip state=present 
sudo: yes 

- name: Install Docker Python library. 
Pip: name=docker-py state=present 
sudo: yes 


Ansible 通 过 Python 的 docker-py 模 块 来 操控 Docker， 所 以 要 事先 安装 该 模块 。 


同 级 目录 下 的 dockeryml， 其 核心 任务 就 是 创建 存储 、App 应 用 、MySQL 容 器 。 


- name: Build Docker :images from Dockerfiles. 

docker image: 
name: "{{ item.name }}" 
tag: "{{ item.tag }}" 
path: "/vagrant/provisioning/{{ item.directory }}" 
state: build 

with items: 
- { name: data, tag: "data", directory: data } 
- { name: www, tag: "flask", directory: www } 
- { name: db, tag: mysql, directory: db } 


该 YML 调 用 docker_image 模 块 ， 使 用 name、path、state 和 tags 定 义 每 个 镜像 的 属性 。Tags 属 性 类 似 git 的 tags 功 能 ， 人 允许 为 每 个 镜像 标 上 特殊 意义 的 标识 。 这 里 的 YML 创 建 了 data、www、db 三 个 


镜像 ， 镜 像 存 放 于 /vagrant/provisioning/ 下 对 应 的 镜像 名 目录 。 


这 里 我 们 只 是 创建 了 Images， 接 下 来 启动 所 有 镜像 ， 即 设置 state 状 态 为 present。 编 辑 docker_run.yml 内 容 如 下 : 


# 


数据 容器 非 running 状 态 也 可 被 使 用 
- name: Run a Data container. 
docker: 
image: data:data 
name: data 
state: present 
- name: Run a Flask container. 
gocker: 
image: www:flask 
name: wwW 
state: running 
command: Python /opt/www/index.py 
ports: "80:80" 
=- name: Run a MySQL container. 
gocker: 
image: db:mysql 
name: db 
state: running 
volumes from: data 
command: /opt/start-mysql.sh 
ports: "3306:3306" 


针对 Flask 容 器 ， 我 们 不 仅 需 要 保证 App 正 常 运行 ， 也 需要 容器 正常 运行 。 所 以 在 该 容器 启动 时 我 们 设置 运行 如 下 命令 : 


command: python /opt/www/index.py 


此 外 ， 我 们 通过 ports: “80: 80" 对 外 映射 80 端 口 ， 以 供 外 部 用 户 通过 HTTP 的 方式 访问 Flask 应 用 ， 该 功能 相当 于 Docker 的 --publish 参 数 。 


Flash 容 器 只 是 对 外 提供 Web 访 问 ， 没 有 永久 性 数据 存储 需求 ， 所 以 容器 的 启 停 对 其 影响 不 大 ， 但 对 MySQL 需 永久 性 保留 用 户 数据 的 需要 是 致命 的 ， 容 器 的 起 停 会 导致 数据 丢失 ， 所 以 对 MySQL 容 器 我 
们 额外 配置 data 容 器 ， 额 外 挂 载 专门 的 数据 硬盘 。 针 对 db 容器 ， 我 们 额外 指定 volumes_ from 和 command 参 数 ，volumes from 挂 载 指定 容器 的 数据 卷 ，command 指 定 容器 启动 后 运行 Shell 脚 本 来 启动 


MySQL。 


到 目前 为 止 ， 我 们 的 目录 结构 应 该 如 下 : 


docker/ main.yml | 一 一 provisioning | | 一 一 data Co db| —— docker run.yml 


| 一 docker.yml | 上 一 main.yml setup.yml -一 一 www 


每 个 容器 都 有 自己 对 应 的 项 目 目录 。 


9.7.4 数据 存储 容器 配置 


数据 存储 容器 的 配置 不 需要 做 太 多 事情 ， 只 需 创建 一 个 数据 存储 目录 并 对 外 可 mount， 以 便于 其 他 容器 使 


VOLUME 正 常 读 取 数 据 。 创 建 docker/provisioning/data/Dockfile 文 件 内 容 如 下 : 


# 用 Docker 容 器 创建 数据 卷 
FROM busybox 
MAINTAINER Jeff Geerling <geerlingguy@mac.com> 
# 为 MySQL 创 建 数 据 卷 

RUN mkdir -p /var/lib/mysql 

VOLUME /var/lib/mysql 


该 容器 启动 时 会 RUN mkdir-p/var/lib/mysql， 创 建 /var/lib/mysql 的 目录 ， 并 指定 其 VOLUME 属 性 。 


9.7.5 ”Flask 容 器 配置 


Flask 是 基于 Python 的 轻 量 级 Web 框 架 ， 类 似 于 PHP， 其 他 后 端 需 连 接 DB 服 务 。 这 里 我 们 也 编辑 一 个 简单 的 Web 页 面 ， 上 


天 


展现 连接 状态 。 编 辑 docker/provisioning/www/index.py.j2 内 容 如 下 : 


# 构建 测试 页 面 

from flask import Flask 

from flask import Markup 

from flask import render template 


from flask.ext.sqlalchemy import SQLAlchemy 
app = Flask( name ) 
# 配置 MySQL 连 接 
db = SQLAlchemy () 
db uri = 'mysql:// admin:admin@{{ host ip agddress }}/information schema' 
app.config['SQLALCHEMY DATABASE URI'] = db uri 
db.init_ app (app) 
@app.route ("/") 
def test(): 
mysql_ result = False 
Eeyws 
if db.session.query ("1") .from statement ("SELECT 1") .all(): 
mysql result = True 
except: - 
pass 
if mysql result: 
result = Markup ('<span>PASS</span>') 
else: 
result = Markup ('<span>FAIL</span>') 
# 返回 页 面 和 结果 
return render template('index.html', result=result) 
if name = main _™: 
“app. run (host="0.0.0.0", port=80) 


该 Python 脚 本 定义 监听 本 机 所 有 IP 的 80 端 口 ， 并 生成 MySQL 连 接 状 态 的 简明 HTML 页 面 。 在 开始 运行 Playbook 之 前 ， 我 们 还 需 定义 docker/provisioning/www/templates/index.html 模 板 文件 。 


<!DOCTYPE html> 
<html> 
<head> 
<title>Flask + MySQL Docker Example</title> 
<style>* { font-family: Helvetica, Arial, sans-serif }</style> 
</head> 
<body> 
<hl>Flask + MySQL Docker Example</h1l> 
<p>MySQL Connection: {{ result }}</p> 
</body> 
</html> 


其 中 的 {{result}} 变 量 信息 会 被 Jinja 蔡 换 为 MySQL 的 连接 状态 信息 。 


App 应 用 配置 完毕 后 ， 我 们 接着 配置 容器 来 运行 该 App。 接 着 定义 的 Dockerfile 将 安装 一 些 必需 的 依赖 包 、 复 杂 Ansible 的 配置 文件 至 指定 目录 ， 并 运行 Ansible-playbook 命 令 等 操作 。 


# Flask 容 器 

FROM ansible/ubuntul4.04-ansible 

MAINTAINER Jeff Geerling <geerlingguy@mac.com> 

# 安装 Flask 应 用 的 依赖 程序 

RUN apt-get install -~y libmysqlclient-dev python-dev 
RUN pip install flask flask-sqlalchemy mysql-python 
# 安装 并 运行 Playbook 

COPY Playbook.yml /etc/ansible/playbook.yml 

COPY index.py.j2 /etc/ansible/index.py.j2 

COPY templates /etc/ansible/templates 

RUN mkdir -m 755 /opt/www 

RUN ansible-playbook /etc/ansible/playbook.yml --connection=local 
EXPOSE 80 


这 里 没有 使 用 Ansible 内 置 的 apt 和 pip 安 装 软件 包 ， 相 反 我 们 使 用 RUN 命 令 ， 这 有 利于 Docker 缓 存 这 些 命令 。 一 般 而 言 ， 软 件 包 的 安装 配置 越 复杂 ，Ansible 的 内 置 功能 会 使 其 安装 配置 越 简单 ， 但 这 里 
我 们 使 用 RUN 命 令 是 为 了 在 docker build 时 减少 漫长 的 等 待 时 间 。 


Dockerfile 的 未 尾 ， 我 们 运行 Playbook 对 外 开放 本 机 80 端 口 以 供 外 部 访问 。 接 着 我 们 配置 App 的 部 署 Playbook。Flask 容 器 需 获取 host_ip_address， 用 以 替换 index.pyj2 中 的 变量 ， 该 功能 在 
docker/provisioning/www/playbook.yml 实 现 。 


— hosts: localhost 
sudo: yes 
tasks: 
- name: Get host IP address. 
Shell: "/sbin/ip routelawk '/default/ { print $3 }'" 
register; host ip 
changed when: false 
- name: Set host ip address variable. 
set fact: 
host ip address: "{{ host ip.stdout }}" 
— name: Copy Flask app into place. 
template: 
src: /etc/ansible/index.py.j2 
dest: /opt/www/index.py 
mode: 0755 
- name: Copy Flask templates into place. 
copy: 
src: /etc/ansible/templates 
dest: /opt/www 
mode: 0755 


首先 通过 Shell 模 块 获取 iP 信息 ， 并 赋予 register 的 自 定义 变量 host_ip。 然 后 通过 set_fact 设 置 host_ip_address 变 量 全 局 可 用 。 最 后 两 条 Tasks 复 制 模板 文件 至 指定 位 置 。 现 在 
docker/provisioning/www 的 目录 架构 应 该 类 似 如 下 : 


www/ 
templates/ 
index.html 
Dockerfile 
index.py.j2 
playbook.yml 


再 配置 MySQL 容 器 就 可 以 运行 并 查看 结果 了 。 


9.7.6 ”MySQL 容 器 配置 


本 节 介绍 的 


点 是 : 如 何 配置 MySQL 在 Docker 容 器 中 运行 及 如 何 挂 载 data 容 器 的 VOLUME。 


首先 使 用 geerlingguy.mysql Roles， 配 置 MySQL (安装 geerlingguy.mysql: ansible-galaxy install geerlingguy.mysql) 。 


— hosts: localhost 
sudo: yes 
Vars: 
mysql users: 

— name: admin 
host: "%" 
password: admin 
Priv: ™*,*sALL" 


roles: 
— geerlingguy.mysql 


该 YML 使 用 mysql_users 变 量 设置 MySQL User 人 信息， 使 用 geerlingguy.mysql 配 置 MySQL,， 编辑 完毕 后 请 保存 至 docker/provisioning/db/playbook.yml。 大 家 是 否 还 记得 ， 因 为 容器 重启 会 导致 数据 
丢失 ， 所 以 我 们 专门 构建 了 一 个 db 容器 用 以 挂 载 MySQL 的 数据 盘 ， 但 如 果 在 某 些 情况 下 启动 时 该 数据 盘 不 存在 该 如 何 处 理 呢 ?这 也 是 我 们 前 面 创建 MySQL 容 器 时 没有 直接 以 Daemon 方 式 启动 MySQL 而 是 
使 用 /opt/start-mysql.sh 启 动 脚本 启动 的 原因 。 


docker/provisioning/db/start-mysql.sh 脚 本 内 容 如 下 : 


# !/bin/bash 
# 如 果 连 接 新 的 数据 库 ， 需 要 重新 设置 MySQL 
if [[ ! -d /var/lib/mysql/mysql ]]; then 
rm ~—£ ~ my enf 
mysql install db 
ansible-playbook /etc/ansible/playbook.yml --connection=local 
mysqladmin shutdown 


该 脚本 会 检查 是 否 存在 /var/lib/mysql/mysql 目 录 ， 如 果 不 存在 会 删除 my.cnf 配 置 文件 ， 初 始 化 MySQL 配 置 并 运行 playbook.yml 关 闭 MySQL。 最 后 再 mysqld_safe 重 新 启动 MySQL。 在 Dockerfile 中 
我 们 需要 确保 playbook.yml 和 playbook.yml 的 存放 在 正确 的 目录 中 。 编 辑 docker/provisioning/db/Dockerfile 内 容 如 下 : 


# MySQL 容 器 

FROM ansible/ubuntul4.04-ansible 

MAINTAINER Jeff Geerling <geerlingguy@mac.com> 
# 通过 Galaxy 安 装 MySQL 

RUN ansible-galaxy install geerlingguy.mysql 

# 复制 启动 脚本 至 /opt/ 

COPY start-mysql.sh /opt/start-mysql.sh 

RUN chmod +x /opt/start-mysql.sh 

# 安装 并 运行 Playbook 

COPY Playbook.yml /etc/ansible/playbook.yml 
RUN ansible-playbook /etc/ansible/playbook.yml --connection=local 
EXPOSE 3306 


该 Dockefile 指 定 基于 Ubuntu14.04 创 建 容器 镜像 ， 同 时 通过 Ansible-galaxy 下 载 MySQL 的 Roles， 所 以 整个 过 程 需 保证 服务 器 可 访问 互联 网 。 配 置 最 后 指定 开放 3306 端 口 以 供 程序 访问 。 至 此 ， 整 体 
docker/provisioning/db 的 目录 结构 应 该 如 下 : 


docker/provisioning/db/ Dockerfile | playbook.yml [一 一 start-mysql.sh 


至 此 ， 繁 琐 的 配置 结束 ， 终 于 到 检查 成 果 的 时 候 了 ! 


9.7.7 ”启动 容器 


切换 至 docker 项 目 主 目录 ， 确 保 所 有 的 容器 是 正常 启动 状态 ， 绑 定 本 机 HOST 配置 域名 解析 ， 如 : 


192.168.37.159 docker.dev 


打开 浏览 器 你 会 访问 如 图 9-14 所 示 的 Docker Ansible 页 面 。 


Flask+MySQL Docker Example 


图 9-14 Docker Ansible 


如 果 你 能 顺利 进行 到 这 步 并 正常 访问 如 图 9-14 所 示 的 Docker Ansible 的 页 面 ， 那 么 说 明 你 和 我 的 环境 相近 ， 已 经 坚持 到 这 里 ， 相 信 你 至 少 已 经 掌握 Anible 应 该 以 何 种 方式 与 Docker 相 结合 。 整 体 过 程 中 
遇 到 最 多 的 问题 可 能 有 如 下 几 个 : 


" Npm 安 装 软 件 包 超时 或 异常 。 
GitHub 无 法 访问 。 
“Ansible-galaxy install 无 法 下 载 Roles 至 本 地 。 
“ Ansible Docker-py 调 用 的 Client 版 本 高 于 Server 版 本 。 
“ 基于 要 重新 下 载 Ubuntu 系统 。 
这 些 的 问题 都 可 以 搜索 Google 网 站 获取 答案 ， 学 会 解决 问题 也 是 一 项 必 备 技能 。 


[1] Docker 安 装 网 址 : https://docs.docker.com/engine/installation/。 


9.8 本章 小 结 


本 章 着 重 为 大 家 介绍 笔者 日 常 工作 中 Ansible 的 运用 方式 、 应 用 场景 及 心得 体会 。 考 虑 部 分 新 手 零 基 础 或 欠缺 Python 开 发 经 验 ， 本 章 从 最 基础 的 SSH 批 量 认证 介绍 起 ， 该 部 分 既 包 括 新 手 最 基础 的 ssh- 
copy-id 方 式 ， 又 涵盖 Python Paramiko 多 线程 的 高 级 开发 实现 ， 并 且 还 有 企业 通用 高 可 用 架构 案例 、 当 今日 益 流行 的 ELK 分 布 式 日 志 系 统 、 轻 量 级 Inotify+Rsyncd+log.io 日 志 时 时 跟踪 系统 、 业 内 著名 的 
Zabbix 分 布 式 监控 系统 、Ansible 结 合 Git+ GitLab 实 现 业 务 自动 化 发 布 、 声 名 大 噪 的 Docker 容 器 技术 应 用 。 这 些 案例 从 底层 新 手 所 需 的 Linux 系 统 认证 ， 至 应 用 层 资 深 工程 师 所 需 的 高 可 用 架构 、 高 级 日 志 
系统 、 自 动 化 发 布 系统 、 容 器 技术 均 有 涉及 ， 几 乎 囊括 了 运 维 日 常 所 需 技 能 的 各 个 方面 ， 相 信 大 家 看 完 本 章 会 收获 颇 丰 。 


第 10 章 Ansible 基 于 Windows 的 管理 架构 


如 第 1 章 介绍 ， 作 为 关注 度 最 高 的 集中 化 管理 工具 ，Ansible 同 样 支持 Windows 系 统 ， 因 为 Windows 系 统 商业 产品 的 特殊 性 ， 所 以 相对 开源 的 Linux 发 行 版 无 论 是 配置 还 是 管理 方式 都 有 较 大 差别 ， 本 章 
来 为 大 家 详细 介绍 。 


Ansible 从 1.7+ 版 本 开始 ， 支 持 Windows， 但 只 是 支持 被 管理 ， 即 只 能 作为 远程 主机 端 被 Ansible 远 程 调度 使 用 ， 所 以 管理 机 必须 为 Linux 系 统 。 基 于 Windows 系 统 的 通信 方式 不 同 于 Linux 系 统 ， 远 程 
主机 的 通信 方式 由 SSH 变 更 为 PowerShell。Windows 是 图 形 化 操作 系统 ， 远 程 连 接 依赖 自 带 的 远程 连接 工具 ， 自 身 并 不 支持 SSH， 但 在 Linux 服 务 器 领域 迅猛 发 展 的 冲击 下 ，Windows 也 折腾 出 来 自己 的 
SSH 工 具 : PowerShell。 最 新 的 PowerShell 不 仅 支 持 SSH， 甚 至 还 将 PowerShell 开 源 ， 这 真是 Windows 运 维 人 员 福 音 呀 ! 


微软 自 Windows2000 操 作 系统 开始 ， 其 域 功能 的 账户 认证 方式 基于 Kerberos， 且 该 方式 一 直 延 续 至 今 ， 因 此 管理 机 必须 预 安装 Python 的 Winrm[1] 模 块 ， 方 可 和 远程 Windows 主 机 正常 通信 。 但 
PowerShell 需 3.0+ 版 本 及 Management Framework3.0+ 版 本 ， 实 测 Windows7SP1 和 Windows Server2008R2 及 以 上 版 本 系统 经 简单 配置 可 正常 与 Ansible 通 信 。 简 单 总 结 如 下 : 


1) 管理 机 必须 为 Linux 系 统 且 需 预 安装 Python Winrm 模 块 ; 


2) 底层 通信 认证 协议 基于 Kerberos[ 站 ，Windows 使 用 的 连接 工具 为 PowerShell 而 非 SSH; 


3) 远程 主机 PowerShell 版 本 为 3.0+，Management Framework 版 本 为 3.0+。 


以 上 条 件 满足 后 ， 方 可 正常 与 Ansible 通 信 。 下 面 我 们 逐步 深入 介绍 其 部 署 安装 及 使 用 。 


[1 winrm 全 称 是 Windows Remote Management， 是 Windows 基 于 Python 的 管理 模块 。 支 持 诸如 BasicAuthentication、DigestAuthentication、NegoticateAuthentication、KerberosAuthentication 等 多 种 标准 身份 认证 和 信 
息 加 密 。 


四] Kerberos: 网 络 认证 协议 的 一 种 。 


10.1 ”Ansible 管 理 机 部 署 安 装 


如 本 章 伊 始 介 绍 ，Windows 系 统 无 法 作为 管理 机 ， 只 能 作为 远程 主机 被 管理 ， 且 管理 机 需 预 先 安装 Python 的 Winrm 模 块 ， 使 用 的 安装 命令 如 下 : 


pip install “pywinrm>=0.1.1" 


如 远程 的 Windows 主 机 没有 入 域 [] (Windows 活 动 目录 域 服务 ， 详 见 官网 ) ， 可 跳 过 下 方 的 步骤 1 和 步骤 3 操作 。 如 远程 Windows 主 机 是 基于 Active Directory (简称 AD) 的 管理 方式 ， 管 理 机 和 远程 
主机 基于 Kerbero 认 证 ， 所 以 管理 机 需 额外 安装 python-kerbero 和 MIT krb5 依 赖 库 。 


步骤 1: 安装 python-kerberos 依 赖 ， 命 令 如 下 (不 同 发 行 版 本 请 参考 不 同 的 命令 格式 ) 。 


"YUM 方式 (Centos、RedHat、Fedora) 


yum -y install python-devel krb5-devel krb5-libs krb5-workstation 


“ Apt 方 式 (Ubuntu) 


sudo apt-get install python-dev libkrb5-dev 


“ Portage 方 式 (Gentoo) 


emerge -av app-crypt/mit-krb5 
emerge -av dev-python/setuptools 


“ pkg 方式 (FreeBSD) 


sudo pkg install security/krb5 


OpenCSW 方 式 (Solaris) 


pkgadd -d http://get.opencsw.org/now 
/opt/csw/bin/pkgutil -U 
/opt/csw/bin/pkgutil -y -i libkrb5 3 


Pacman 方式 (Arch Linux) 


Pacman -S krb5 


步骤 2: 安装 python-kerberos，OSX 和 Linux 发 行 版 均 已 默认 安装 。 如 需 安装 请 使 用 如 下 命令 。 


pip install Kerberos 


步骤 3: 配置 Kerberos， 参 考 如 下 内 容 修 改 配 置 /etc/krb5.conf。 


[realms] 
MY.DOMAIN.COM = { 
kdc = domain-controller]l .my.domain.com 
kdc = domain-controller2.my.domain.com 


之 后 于 [domain_realm] 后 添加 如 下 内 容 : 


[domain _ realm] 
.my.domain.com = MY.DOMAIN .COM 


通过 以 下 命令 验证 域 账户 认证 情况 : 
步骤 4: 同 理 配 置 Inventory 主 机 信息 和 group_vars/windows.yml 变 量 信息 。 


Inventory (默认 /etc/ansible/hosts) 添加 如 下 信息 : 


# 添加 Windows 组 ， 添 加 两 台 主 机 ， 分 别 为 win1.magedu.com 和 win2.magedu.com 
[windows] 

winl.magedu .com 

win2.magedqu .com 


group_vars/windows.yml 添 加 如 下 信息 : 


# 指定 远程 连接 的 认证 用 户 名 

ansible user: Rdministrator 

# 指定 如 上 Administrator 用 户 的 连接 密码 
ansible password: magedu@beijing 

# 指定 连接 端口 ， 默 认 5986 端 口 

ansible port: 5986 

# 指定 连接 方式 为 winrm 

ansible connection: winrm 

# 忽略 交互 确认 


ansible winrm server cert validation: ignore 


至 此 ， 服 务 端 配 置 完毕 ， 如 需 和 远程 Windows 正 常 通信 ， 仍 需 对 Windows 做 一 定 配置 修改 ， 这 点 和 Linux 系 统 是 有 区 别 的 。Windows 远 程 主机 的 详细 配置 方式 见 10.2 节 。 


[1 Windows AD 域 网 址 : https://msdn.microsoft.com/en-us/library/aa362244(v=vs.85).aspx。 


10.2 ”Windows 系 统 预 配置 


和 Linux 发 行 版 稍 有 区 别 ， 远 程 主机 系统 如 为 Windows， 需 预先 如 下 配置 ， 方 可 和 管理 机 通信 。 
' 安装 Framework3.0+; 

' 设置 PowerShell 本 地 脚本 运行 权限 为 remotesigned; 

:升级 PowerShell 至 3.0+; 

“ 自动 设置 Windows 远 端 管理 ， 英 文 全 称 为 WS-Management。 

我 们 逐一 介绍 。 

1) 安装 Framework3.0+。 


下 载 链接 为 : 


http://download.microsoft.com/download/B/A/4/BRA4R7E71-2906-4B2D-RAOE1-80CF16844F5FV/dotNetFx45_Fu11_x86_x64.exe 


下 载 至 本 地 后 双击 安装 即 可 。 期 间 可 能 会 多 次 重启 ， 因 电脑 配置 差异 有 可 能 需 从 微软 官网 下 载 依赖 组 件 ， 所 以 安装 期 间 请 保证 电脑 正常 连接 Internet。 


2) 设置 PowerShell 本 地 脚本 运行 权限 为 remotesigned。 


Windows 系 统 默认 只 有 Administrator 用 户 可 执行 SP 脚本 ， 即 使 是 管理 员 ， 也 需 额 外 修改 注册 表 开 放 SP 脚 本 的 执行 权限 。 


步骤 1: 打开 CMD， 输 入 regedit.exe， 如 图 10-1 所 示 ， 打 开 注 册 表 。 


困 C:\Windows\system32\cmd.exe - regedit.exe 


Microsoft Windows [hh 本 6 .1.7681] ， 
上 有 《cc> 209989 Microsoft Corporation, 怀 留 月 


CGC:\NJsers\linuxlst >regedit .exe 


> 程序 名 称 : 注册 去 编辑 器 
已 验证 的 发 布 者 : Microsoft Windows 


人) 显示 详细 信息 (D) 


图 10-1 打开 注册 表 


又 2: 设置 脚本 SP 权限 为 系统 可 运行 。 


依次 打开 注册 表 目 录 HKEY_LOCAL MACHINE\SOFTWARE\Microsoft\PowerShell\1\Shelllds\Microsoft.PowerShell， 在 如 图 10-2 所 示 的 界面 中 修改 SP 脚本 可 执行 权限 为 remotesigned。 


或 者 , 输入 PowerShell 执 行 命令 : set-executionpolicy-executionpolicy unrestricted， 返 回 结果 如 图 10-3 所 示 。 


Notepad 类 型 数据 
ODBC ER REG_SZ (数值 未 设置 ) 
Office REG SZ Unrestricted 


Ole REG SZ C:\Windows\System32\WindowsPowerShell\v1l.0\powershell.exe 
Outlook Express 


PCHealth 
PLA 


PowerShell 


1 
. 0409 信 数 据 0): 


-出 PowerShellEngine esl ened 
b -MD PSConfigurationProviders 


数值 名 称 0): 


FExecutionPolicy 


图 10-2 设置 SP 脚本 系统 可 运行 


ER Windows Powerehe 


Windows PowerSshell 
= 


PS CGC:\Jsers dministrator> set-executionpolicy ~executionpolicy unrestricted 


帮助 主题 中 
[Y] 是 (yy》 


图 10-3 设置 SP 脚本 执行 策略 
这 里 共有 4 种 权限 。 
“ Restricted， 上 默认 的 设置 ， 不 允许 任何 script 运 行 。 
“ AllSigned， 只 能 运行 经 过 数字 证 书签 名 的 script。 
: RemoteSigned， 运 行 本 地 的 script， 不 需要 数字 签名 ,但 是 运行 从 网 络 上 下 载 的 sctipt 就 必须 要 有 数字 签名 。 
Unrestricted， 人 允许 所 有 的 script 运 行 。 
我 们 需要 修改 权限 为 第 3 种 权限 ， 即 RemoteSigned。 


3) 升级 PowerShell 至 3.0+。 


查看 Power 的 版 本 号 ， 打 开 PowerShell 的 步骤 如 图 10-4 所 示 。 单 击 Windows 系 统 键 ( 即 数字 1 的 圆 形 ) ， 在 搜索 程序 和 文件 ( 即 数字 2 的 方 框 ) 框 中 输入 powershell， 选 择 Windows PowerShell ( 即 
数字 3) ， 之 后 ， 单 击 即 可 。 


Windows PowerShell ISE (x86) 
帮 windows PowerShell Modules 


图 10-4 ”打开 PowerShell 的 步 又 


单 击 后 会 出 现 如 图 10-5 所 示 的 PowerShell 窗 口 。 


六 Windows PowerShell (x86) 


Windows PowerShell RR 
版 权 所 有 《C》2889 Microsoft Corporation。 保 留 所 有 权利 。 


PS CGC:\NJsers‘\WMagedu> 


图 10-5 ”PowerShell 窗 口 


司 中 Ps C: \Users\Magedu> 的 后 面 可 通过 键盘 输入 所 需 内 容 或 命令 。 我 们 分 别 输入 如 图 10-6 所 示 的 查看 PowerShell 版 本 中 的 命令 。 


Windows PowerShe1l ns 
所 有 《C) 2889 Microsoft Corporation,。 保留 月 1 


PS C:NWsers\Linuxlst> E:\lownload\Conf igureRemotingForfnsible.psi 

PowerShell version 3 or higher is required. 

所 在 位 置 E: ownload\Conf igureRemot ingForfnsible.psi1:86 字符 : 18 

Throw <<<< “了 PowerShell version 3 or higher is Fequired_. 
+ CategoryvInfo : OperationStopped: 〈PowerShell vers...er is required.:String> []。RuntimeException 
+ FullyQualifiedErrorld : PowerShell version 3 or higher is required. 


PS CG:NJsers\linuxlst> Get-Host 


ame : ConsoleHost 
Uersion 2.0 
Instanceld : ?acee2ad-93bhd-4d41-bfa?-hbaa6?617?9195 
I System.Management .hutomation .Internal.Host.InternalHostUserInterface 
urrentCulture : zh-CN 
urrentUICulture zh-CN 
PrivateData : Microsoft.PowerShell.ConsoleHost+ConsoleColorProxy 
IsRunspacePushed False 
Runspace : System.Management .futomation.Runspaces.LocalRunspace 


10-6 ”查看 PowerShell 版 本 


E:\download\ConfigureRemotingForAnsible.psl 
Get-Host 


返回 结果 如 10-6 所 示 。 图 10-6 中 数字 1 方 框 中 的 报错 部 分 表示 PowerShell 版 本 过 低 ， 需 升级 版 本 至 3.0+ 版 本 ， 数 字 2 方 框 中 的 内 容 表 示 当 前 PowerShell 版 本 为 2.0。PowerShell3.0+ 需 基于 
Windows7Sp1 安 装 ，Windows7 系 统 Sp1 补 丁 升级 请 参考 http://windows.microsoft.com/installwindows7sp1， 这 里 不 详细 介绍 。Window7 和 Windows Server2008R2 默 认 安 装 PowerShell， 但 版 本 号 
一 般 为 2.0 版 本 ， 所 以 这 里 我 们 需 升 级 PowerShell 至 3.0+ 版 本 。 


打开 方式 (H) 


TortolseSVN 


图 10-7 使 用 PowerShell 执 行 SP 脚本 


升级 PowerShell 至 3.0+ 版 本 的 下 载 网 址 如 下 : https://github.com/cchurch/ansible/blob/devel/examples/scripts/upgrade_to_ps3.ps1。 下 载 至 本 地 后 ， 如 图 10-7 所 示 。 右 键 选择 “使 
PowerShell 运 行 ”， 执 行 完毕 重启 系统 后 ， 在 PowerShell 窗 口 执行 Get-Host 命 令 ， 结 果 如 图 10-8 所 示 。PowerShell 版 本 为 3.0， 正 常 。 


[ 


rr 


Windows PowerShell 
版 权 所 有 (C) 2012 Microsoft Corporat1ion。 保 窜 所 有 权 : 


PS C:\Windows\system32> Get-Host 


Name :ConsoleHost 
IVersion 3.0 


INstancerd 29g1I004TCE-d965-4e4e-96b9-8facla4a7487 


UI : System.Management.Automation.Internal.Host.InternalHostUserInterface 
CurrentCulture : zh-CN 


CurrentUICulture : zh-CN 


PrivateData : Microsoft.PowerShell.ConsoleHost+ConsoleColorProxy 
IsRunspacePushed : False 


Runspace System.Management.Automation.Runspaces.LocalRunspace 
| 


PS C:\Windows\system32> _ 


图 10-8 ”获取 PowerShell 版 本 号 
4) 自动 设置 Windows 远 端 管理 (WS-Management, WIinRM) 。 


下 载 补丁 脚本 : https://github.com/ansible/ansible/blob/devel/examples/scripts/Conf 


gureRemoting ForAnsible.ps1 至 本 地 ， 右 击 后 选择 “使 用 PowerShell 运 行 ”， 执 行 结 果 没有 返回 错误 即 为 
正常 。 


如 执行 后 出 现 “ 由 于 此 计算 机 上 的 网 络 连 接 类 型 之 一 设置 为 公 
试 解决 。 


因此 WinRM 防 火 墙 例外 将 不 运行 ”类 似 报 错 信 息 ， 请 在 PowerShell (PowerShell 的 打开 方式 ) 中 执行 以 下 命令 ， 设 置 为 强制 执行 尝 


Enable-PSRemoting - SkipNetworkProfileCheck ~ Force 


远程 Windows 主 机 配置 到 此 结束 。 我 们 验证 一 下 配置 是 否 有 问题 ， 在 Master 机 做 如 下 设置 。 


5 又 1: 配置 Inventory 添 加 /etc/ansible/hosts 配 置 。 


[windows] 


192.168.37.146 ansible ssh user= "Rdministrator ansible_ ssh pass="magedu@beijing" ansible 
ssh port=5986 ansible connection="winrm" 


聚 2 : : 在 Master 上 执行 命 


ansible windows -m win ping 


返回 结果 如 图 10-9 所 示 。 


[ 旱 加 dowsj 
192.168.37.146 ansible_ssh_user= “Administrator”ansible_ssh_pass= 


ing”ansible_ 
ssh_port=5986 ansible_connection=" 辆 加" 


"/etc/ansible/hosts”70L，1303C 已 写 入 
[root@linuxlst ansible]# ansible windows -m win_ping 


图 10-9 ”Ansible 连 接 Windows 远 程 主机 


Windows 系 统 建议 使 用 Administrator 用 户 ， 避 免 不 可 预知 的 问题 。 命 令 运行 前 请 设置 Administrator 可 登录 ， 且 登录 密码 为 magedu(@beijjing。 


Windows 下 可 用 模块 虽 不 及 Linux 丰 富 ， 但 基础 功能 均 包 括 在 内 。 下 面 介绍 日 常 工作 常用 到 的 模块 ， 请 参考 。 


" win_acl (EE) : 设置 文件 /目录 属 主 、 属 组 权限 ; 


“ win_copy: 复制 文件 到 远程 Windows 主 机 ; 


“ win_file: 创建 、 删 除 文件 或 目录 ; 

“ win_lineinfile: 匹配 替换 文件 内 容 ; 

“ win_package 〈( 卫 ) : 安装 / 印 载 本 地 或 网 络 软 件 包 ; 

“ win_ping: Windows 系 统 下 的 ping 模 块 ， 常 用 来 测试 主机 是 否 存 活 ; 

* win_setvice: 管理 Windows Services 服 务 ; 

* win_user: 管理 Windows 本 地 用 户 。 

更 多 模块 及 详细 功能 介绍 请 参考 官网 : http://docs.ansible.com/ansible/list_of_windows_modules.html 
除 win 开 头 的 模块 外 ，scripts、raw、slurp、setup 模 块 在 Windows 下 也 可 正常 使 用 。 


10.4 节 我 们 会 演示 Windows 下 的 案例 。 


10.4 Windows Ansible 模 块 使 用 实战 


本 节 通 过 几 个 实战 案例 为 大 家 演示 一 些 常用 模块 的 用 法 。 


案例 1: 传输 /etc/passwd 文 件 至 远程 E: \file\ 目 录 下 。 


执行 命令 : 


# 复制 本 机 /etc/passwd 文 件 至 远程 主机 EE 盘 的 fijle 目 录 下 
ansible windows -m win copy -a 'src=/etc/passwd dest=FE:\file\passwd' 


192.168.37.146 | success >> 1{ 
"changed": true, 
"checksum": "896d4c79f49b42ff24f93abc25c38bclaa20afa0", 


"operation": "file copy", 
"original basename": "passwd", 
"size": 2563 

} 

部 分 返回 结果 诠释 : 


“ "operation": "file_copy" 表 示 执 行 的 操作 为 fle_copy; 
“ "original_basename": "passwd" 表 示 文 件 名 为 passwd; 
.vsize": 2563 表 示 文 件 大 小 为 2563 字 节 。 


Playbook 内 容 如 下 : 


- name: windows module example 
hosts: windows 
tasks: 
- name: Move file on remote Windows Server from one location to another 
win file: src=/etc/passwd dest=E:\file\passwd 


整体 Playbook 的 写法 与 远程 主机 为 Linux 时 的 写法 格式 没有 区 别 ， 只 是 使 用 模块 有 差别 ，Windows 系 统 对 应 的 文件 传输 模块 名 为 win_file，Linux 系 统 的 文件 传输 模块 名 为 file。 


案例 2: 删除 案例 1 中 的 文件 E: \file\passwd。 


执行 命令 : 


ansible windows -m win file -a "path=E:\file\passwd state=absent" 


返回 结果 : 


192.168.37.146 | success >> { 
"changed": true 
} 


true 返 回 表示 命令 执行 无 误 ， 登 录 远 程 查看 可 确认 passwd 文 件 已 被 删除 。 


案例 3: 为 远程 Windows 主 机 新 增 用 户 stanley， 密 码 为 nagedu@123， 属 组 为 Administrators。 


执行 命令 : 


ansible windows -~m win user -a "name=stanley passwd=magedu@123 group=Administrators" 


返回 结果 : 


192.168.37.146 | success >> { 
"account disabled": false, 
"account locked": false, 
"changed": true, 
"description"s *", 
"fullname": "stanley", 
"oroupe™: I 


{ 
"name": "Administrators", 
"path": "WinNT:// WORKGROUP/LINUXLST/Administrators" 
} 
]， 
"name": "stanley", 
"password expired": true, 
"password never expires": false, 
"path": "WinNT:7/ WORKGROUP/LINUXLST/stanley", 
"oid"s 1-5-21-3965499365-1200628009-3594530176-1004", 
"state": "present", 
"user cannot change password": false 


部 分 返回 结果 诠释 。 

"account_disabled: 禁用 用 户 登 录 ; 

* account_locked: 解锁 用 户 ; 

“ groups: 用 户 所 属 组 ; 

“name: 用 户 名 ; 

“ password_expired: 下 次 登录 修改 密码 ; 


“user_cannot_change_password: 用 户 是 否 可 修改 密码 。 


添加 的 用 户 可 登录 远程 主机 ， 右 键 单 击 后 ， 依 次 选择 计算 机 一 管理 ， 在 本 地 用 户 和 组 条 目下 查看 新 增 的 用 户 信息 。 关 于 Windows 的 操作 非 本 书 重点 ， 这 里 不 乾 述 。 
案例 4: 重启 Windows spooler 服 务 。 
Windows 下 重启 进程 使 用 win_service 模 块 来 执行 远程 命令 。 该 模块 使 用 方式 如 下 : 


ansible windows -m win service -a "name=spooler state=restarted" 


返回 结果 : 


192.168.37.146 | success >> { 
"changed": true, 
"display name": "Print Spooler", 
"name": Tspooler", 
"start mode": "auto", 
"state": "running" 


spooler 服 务 的 状态 可 远程 登录 后 在 服务 列表 中 查看 其 状态 ( 


10.5 本章 小 结 


本 章 为 大 家 介绍 了 当 远 程 主机 为 Windows 时 Ansible 的 管理 机 制 ， 只 是 Windows 主 机 的 配置 工作 增加 了 很 多 工作 量 。 


体操 作 这 里 不 蓝 述 ) 。 


很 多 运 维 朋 友之 所 使 用 Windows， 多 数 也 是 因为 历史 原 


和 


此 务 缘由 。 相 信 在 整个 


配置 过 程 中 大 家 也 能 感觉 到 Windows 配 置 的 复杂 程度 上 相对 于 Linux 要 麻烦 很 多 ， 最 关键 问题 是 与 Ansible Agentless 观 念 相 违背 。 


Linux 大 为 流行 的 背景 下 ， 各 软件 对 Windows 的 支持 力度 确实 不 如 预期 ， 也 曾 收 到 出 


但 为 了 迎合 少数 Windows 服 务 


lL 界 Windows 应 


令 执行 过 程 中 无 响应 等 意 想 不 到 的 问题 。 其 实 何止 Ansible， 现 流行 的 集中 化 管理 工 . 


户 ， 也 只 能 兼容 。 在 如 今 服务 器 市 场 


者 反馈 Ansible 管 理 Windows 期 间 存在 诸如 
对 Windows 的 支持 力度 均一 般 (Cygin 可 以 尝试 ) 。 


: 大 文件 远程 传输 不 完整 、Window3 
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对 于 一 台 全 新 安装 的 服务 器 ， 尤 其 是 那些 直接 面向 公 网 的 服务 器 来 说 ， 最 重要 的 一 项 配 


应 该 就 是 安全 配置 了 。 


针对 非 授 权 连 接 和 截取 通信 信息 等 攻击 行为 ， 我 们 总 结 了 如 下 9 条 方法 ， 来 避免 上 述 攻击 手段 可 以 带 来 的 危害 : 


“ 使 用 安全 加 密 的 通信 方式 ; 

.禁止 root 用 户 远程 登录 并 充分 利用 sudo; 

“ 移 除非 必需 的 软件 ， 只 开放 需要 用 到 的 端口 ; 
“ 遵守 权限 最 小 化 原则 ; 

“ 及 时 更 新 操作 系统 和 软件 ; 

“ 使 用 合理 配置 过 的 、 有 针对 性 的 防火 墙 ; 
:确保 日 志文 件 被 及 时 迁移 、 存 放 和 切割 ; 

" 监测 系统 登录 情况 ， 封 掉 可 疑 的 IP 地 址 ; 


“正确 使 用 SELinux 和 AppArmor。 


大 部 分 情况 下 ， 我 们 的 服务 器 的 安全 要 比 我 们 想象 的 要 低 很 多 。 在 很 多 备 受 瞩目 的 安全 攻击 事件 中 ， 网 络 内 一 台 安 全 性 较 差 的 主机 就 充当 了 黑客 或 病毒 攻击 网 络 内 其 他 主机 的 网 关 。 


策略 ， 可 以 帮助 你 获得 一 名 运 维 工程 师 至 高 无 上 的 荣誉 一 一 主机 零 宕 机 。 


本 章 将 会 学 习 到 如 何 借助 Ansible 来 加 固 我 们 的 主机 安 


性 。 


my 


机 较 多 时 部 分 主机 命 


一 个 好 的 主机 安全 


11.1 SSH 与 远程 连接 简介 


在 电脑 发 明之 初 ， 一 台 计算 机 的 体积 和 一 间 房 子 差不多 大 。 还 有 指令 穿孔 卡片 不 停 地 被 传 进 计算 机 中 ， 另 一 端的 打印 机 不 停 地 将 运算 结果 印 刻 在 另外 一 部 分 卡片 上 。 成 干 上 万 个 机 械 部 件 相互 配合 着 流 


畅 地 (不 出 故障 的 时 候 ) 完成 一 系列 计算 任务 。 


随 着 科技 的 进步 ， 计 算 机 的 体积 变 得 越 来 越 小 ， 人 机 交互 式 操作 的 终端 界面 也 变 得 越 来 越 友好 ， 但 依然 需要 有 线 费 来 连接 才能 通信 。 直 到 20 世 纪 60 年 代 ， 大 型 机 
传 打 字 机 接口 进行 输入 ， 后 来 出 现 了 键盘 和 小 型 的 文字 显示 界面 。 到 了 20 世 纪 七 八 十 年 代 ， 网 络 技术 的 突飞猛进 ， 远 程 终端 连 接管 理 开始 被 一 些 大 型 的 讨 


11.1.1 Telnet 


Telnet 协 议 诞生 于 20 世 纪 60 年 代 后 期 ， 最 初 被 应 用 到 基于 TCP 协 议 的 大 型 私有 网 络 之 中 ， 默 认 端 口 并 非 为 23 号 端 


问世 。 大 型 机 最 初 可 以 通过 打字 机 和 电 


来 逐渐 在 公 网 上 流行 起 来 。 


Telnet 是 一 种 文本 协议 ， 用 于 在 不 同 网 络 间 传 输 数据 。Telnet 属 于 底层 协议 ， 至 今 它 依然 是 我 们 现在 使 用 的 很 多 通信 协议 的 基础 ， 比 如 HTTP、FTP 以 及 POP3。 但 是 ， 纯 文件 的 数据 流 在 网 络 中 并 不 安 


， 即 使 使 用 了 TLS 和 SASL 协 议 进 行 加 密 也 不 安全 。 随 着 SSH 的 到 来 ，Telnet 开 始 逐 渐 退 出 远程 管理 的 舞台 。 


Telnet 现 在 主要 用 于 配置 serial 端 口 或 用 于 检测 远程 主机 上 的 某 些 服务 是 否 运 行 正常 ， 比 如 通过 连接 80 端 


来 测试 HTTP 服 务 是 否 正常 ， 连 接 3306 端 


发 行 版 中 ， 已 经 不 再 默认 安装 Telnet 软 件 了 。 


11.1.2 RLOGIN、RSH 和 RCP 


RLOGIN 在 1983 年 随 着 BSD 的 4.2 版 本 一 同 问世 ， 同 时 被 多 数 的 类 UNIX 系 统 兼 容 。RLOGIN 在 20 世 纪 80: 


代 到 90: 


来 检测 MySQL 服务 是 否 正常 等 。 现 在 主流 的 Linux 


代 期 间 甚 为 流行 。RLOGIN 和 Telnet 类 似 ， 都 是 通过 密码 认证 来 登录 远程 系统 ， 但 是 


RLOGIN 同 时 还 支持 对 信任 主机 的 免 密码 登录 。 在 功能 方面 ，RLOGIN 也 要 比 Telnet 更 强大 一 些 ，RLOGIN 支 持 很 多 特定 字符 和 命令 ， 但 是 Telnet 在 运行 和 识别 这 些 命令 时 则 需要 额外 进行 转译 。 


RLOGIN 默 认 端 口 是 TCP 的 513 号 端口 ， 也 使 用 纯 文 本 通信 ， 所 以 其 安全 性 也 存在 问题 。1998 年 ，ROLOIN 的 更 多 


内 在 缺陷 被 卡 内 基 - 梅 隆 大 学 爆 出 。 


RSH (Remote Shell) 是 一 个 命令 行 工具 ， 用 于 单独 执行 远程 Shell 命 令 。RCP (Remote Copy) 是 用 来 复制 远程 文件 的 。RSH 和 RCP 拥 有 和 RLOGIN 一 样 的 安全 问题 ， 因 为 它们 使 用 同样 的 通信 方式 ， 


只 是 端口 不 一 样 而 已 。 


T1113 SSH 


SSH (Secure Shell) 诞 1995 年 ， 由 芬兰 人 Tatu YISSH 是 如 何 工作 的 呢 ? 它 比 起 Telnet 和 RLOGIN 又 有 哪些 优势 呢 ? 这 一 切 都 要 从 最 底 


SSL 加 密 ， 同 时 SSH 的 认证 层 还 增加 了 更 多 的 安全 机 制 。 


1) 当 使 用 命令 ssh admin@example.com 连 接 主机 example.com 的 时 候 ， 当 前 主机 和 远程 主机 example.com 之 间 是 需要 进行 密 钥 认 证 的 。 


2) 如 果 是 第 一 次 连接 一 台 远程 主机 ， 或 者 从 上 次 连接 过 之 后 ， 主 机 密 钥 发 生 了 变化 ， 那 么 SSH 会 提示 你 是 否 批准 使 用 当前 3 


进行 连接 不 会 出 现 这 样 的 提示 ) 。 


层 的 连接 方式 说 起 。SSH 的 连接 加 密 方式 非常 类 似 于 HTTP 的 


E 机 的 密 钥 进行 连接 (这 通常 发 生 在 使 用 域名 进行 连接 的 情况 下 ， 使 用 IP 地 址 


3) 如 果 你 在 ~/.ssh 目 录 下 的 私 钥 和 要 连接 的 远程 主机 上 的 ~/.ssh/authorized_keys 文 件 中 的 公 钥 匹 配 ， 那 么 连接 过 程 将 会 直接 进行 下 一 步 。 否 则 ， 如 果 远 程 主机 上 SSH 设 置 了 允许 密码 认证 ，SSH 将 会 


提示 你 输入 密码 。 


4) 被 传送 到 远程 主机 上 的 公 钥 会 结合 其 他 一 些 加 密 方式 ， 如 : AES、3DES、Blowfish 等 ， 一 起 为 所 有 的 通信 进行 加 密 。 


里 


也 
他 


5) 所 有 连接 将 会 一 直 维护 加 密 状态 , 直 


户 退 出 远程 连接 或 者 SSH 所 执行 的 操作 完成 。 比 如 通过 SSH 执 行 一 个 远程 主机 上 的 脚本 ， 脚 本 执行 完成 


也 将 自动 中 断 。 


6) SSH 默 认 的 安全 机 制 比 起 Telnet 和 RLOGIN 已 是 足够 安全 。 但 是 为 了 满足 更 高 的 安全 性 要 求 ， 还 需要 再 做 一 些 额外 的 设置 ， 所 的 有 配置 都 在 SSH 


' 禁止 SSH 使 用 密码 认证 连接 。 设 置 PasswordAuthentication no 即 可 ， 如 此 一 来 就 杜绝 了 所 有 针对 密码 的 暴力 破解 攻击 。 


EF 配置 文件 /etc/ssh/sshd_config 中 完成 。 


“ 禁止 root 用 户 远程 登录 。 设 置 PermitRootLogin no 即 可 ， 我 们 建议 只 使 用 普通 用 户 进行 远程 登录 ， 并 使 用 sudo 命 令 来 行使 大 部 分 root 权 限 。 如 果实 在 需要 使 用 root 用 户 进行 交互 式 管理 ， 可 以 使 用 普通 用 


户 远程 连接 到 主机 ， 然 后 通过 su 命令 切换 到 root 用 户 ， 这 样 做 更 加 安全 。 


“ 明确 指定 允许 或 禁止 的 远程 登录 用 户 。 使 用 AllowUsers 和 DenyUsers 来 指定 哪些 用 户 可 以 登录 ， 哪些 用 户 不 能 登录 。 比 如 ， 只 允许 用 户 John 登 录 ， 可 以 设置 为 : AllowUsers John; 允许 除了 John 以 外 的 其 


他 用 户 登 录 ， 可 以 设置 为 : DenyUsers John。 


. 使 用 非 默认 端口 。SSH 的 默认 端口 为 22， 将 其 改 为 任意 不 与 其 他 服务 冲突 的 端口 (建议 采用 1024 端 口 以 上 的 端口 号 ) 将 会 使 用 系统 更 为 安全 。 在 SSH 配 置 文件 中 设置 Port2849， 即 可 修改 SSH 默 认 端 口 


为 2849。 


在 11.2 节 之 后 ,我 们 将 对 上 面 这 些 配置 进行 运用 。 


11.1.4 ”SSH 的 发 展 和 远程 访问 的 未 来 


在 过 去 的 十 几 年 间 ，SSH 一 直 是 远程 连接 事实 上 的 标准 协议 。 在 这 期 间 ， 整 个 互联 网 的 互通 性 也 有 了 显著 改 


R、 快 速 以 及 安全 性 ， 使 其 


Mosh (Mobile Shell) 是 一 个 新 生 的 SSH 的 替代 品 。 在 高 延迟 网 络 环境 下 ，Mosh 要 比 SSH 流 畅 得 多 。 它 使 
时 更 好 地 支持 了 UTG-8 编 码 ， 使 得 其 可 以 被 大 部 分 的 类 POSIX 操 作 系统 支持 ， 比 如 Google Chrome 操 作 系统 。 


SSH 会 成 为 一 个 非常 痛苦 的 体验 。 


其 复杂 的 互联 网 上 都 长 期 受到 绝 大 部 分 用 户 的 青睐 。 但 是 ， 在 网 络 延迟 比较 严重 的 情况 下 ， 比 如 使 用 3G、4G 移 动 网 络 等 ， 这 时 使 有 


无 论 是 在 环境 可 靠 且 低 延迟 的 局 域 网 还 是 在 环境 极 


立 初 始 的 连接 ， 然 后 通过 UDP 协议 来 同步 本 地 session 和 远程 主机 session。Mosh 同 


远程 访问 技术 及 工具 的 未 来 发 展 依然 充满 了 各 种 未 知 ， 但 有 一 点 是 可 以 确定 的 ，Ansible 将 一 如 既往 地 提供 快速 、 安 全 可 靠 的 连接 方式 ， 来 帮助 人 们 搭建 和 管理 他 们 的 服务 器 架构 。 


11.2 ”通信 如 密 


我 们 讨论 了 SSH 的 发 展 的 和 工作 方式 ， 这 是 因为 SSH 几 乎 是 当今 所 有 基础 设施 安全 的 基础 。 我 们 允许 SSH 直 接连 接 我 们 的 服务 器 ， 所 以 ， 了 解 SSH 的 工作 方式 和 配置 方式 ， 同 时 使 用 加 密 通信 ， 对 我 们 的 
服务 器 安全 至 关 重 要 。 


下 面 我 们 将 介绍 如 何 通 过 Ansible 对 SSH 进 行 安全 配置 。 


为 了 保证 服务 器 的 安全 性 ， 我 们 需要 禁止 SSH 基 于 密码 登录 (禁止 密码 登录 之 前 ， 务 必 确 认 SSH 可 以 成 功 通 过 密 钥 认证 登录 ) ， 使 用 更 为 安全 的 密 钥 认证 来 加 密 通 信 ， 禁 止 root 用 户 远程 登录 ， 同 时 改 
变 SSH 服 务 的 默认 端口 号 。 现 在 Playbook 配 置 内 容 如 下 : 


—- hosts: example 
tasks: 
- name: 修改 SSH 配 置 文件 的 安全 选项 
lineinfile: 
dest: /etc/ssh/sshd config 
regexp: "{{ item.regexp }}" 
line: "{{ item.line }}" 
state: present 
with items: 
TC 
regexp: "^PasswordAuthentication", 
line: "PasswordAuthentication no" 


regexp: "^PermitRootLogin", 
line: "PermitRootLogin no™ 


regexp: "^Port", 
line: "Port 2849" 


notify: restart ssh 
handlers: 
- name: restart ssh 
service: name=ssh state=restarted 


在 这 个 结构 十 分 简单 的 Playbook 中 ， 我 们 使 用 Ansible 的 lineinfile 模 块 对 SSH 的 三 大 安全 配置 选项 进行 了 设置 (不 允许 密码 登录 PasswordAuthentication no， 不 允许 root 远 程 登录 PermitRootLogin 
no， 以 及 修改 默认 商品 为 2849: Port2849) ， 随 后 使 用 Handler 重 启 了 SSH 服 务 ， 来 使 修改 生效 。 


Os 


如 果 们 改变 了 某 些 Inventory 主 机 的 SSH 配 置 ， 比 如 修改 了 默认 端口 号 ， 此 时 我 们 需要 在 Ansible 的 Inventory 文 件 中 使 用 ansible_ssh_port 变 量 明确 地 为 该 主机 重新 指定 新 配置 的 端口 号 。 


11.3 ”禁止 root 远 程 登录 


在 11.2 节 ， 我 们 使 用 了 lineinfile 模 块 来 配置 SSH 完 全 禁止 使 用 root 用 户 远 程 登录 ， 本 节 将 介绍 如 何 利用 Ansible 更 弹性 地 使 用 root 权 限 。 


众所周知 ，Linux 系 统 的 sudo 命 令 可 以 让 普通 用 户 以 root (也 可 以 指定 为 其 他 用 户 ) 的 权限 来 执行 指定 命令 ， 这 样 不 仅 减少 了 root 用 户 的 登录 和 管理 时 间 ， 同 样 也 提高 了 安全 性 。sudo 命 令 可 以 让 我 们 
在 执行 敏感 的 高 权限 命令 时 ， 更 加 有 针对 性 ， 从 而 减少 高 权限 命令 误 操作 的 几率 。 


Ansible 本 身 也 提倡 尽量 使 用 普通 用 户 来 远程 管理 远程 主机 ， 只 有 在 必须 使 用 root 权 限 的 任务 中 ， 才 使 用 sudo 变 量 来 实现 Linux 命 令 行 中 的 sudo 功 能 。 比 如 ， 当 前 Ansible 用 户 要 重启 一 台 Apache 服 务 
器 ， 但 是 它 没有 相关 权限 ， 这 时 就 需要 在 Playbook 中 使 用 sudo 关 键 字 来 完成 操作 。 


=- name: Restart Apache. 
service: name=httpd state=restarted 
sudo: yes 


在 任务 或 Playbook 中 可 以 通过 添加 sudo_user: [username] 关 键 字 来 指定 sudo 后 具体 以 哪个 用 户 的 权限 来 执行 操作 ， 而 不 仅仅 是 root 用 户 。 需 要 注意 的 是 ，sudo_user 关 键 字 必须 在 有 sudo 关 键 字 的 
前 提 下 才 生 效 。 


我 们 可 以 使 用 Ansible 来 编辑 sudo 命 令 的 配置 文件 来 定义 哪些 用 户 可 以 使 用 哪些 命令 等 与 sudo 有 关 的 详细 配置 。 我 们 通过 下 面 一 个 例子 来 详细 了 解 一 下 这 个 过 程 。 


本 例 中 ， 我 们 将 使 用 Ansible 来 修改 sudo 的 配置 文件 ， 使 得 用 户 johndoe 在 使 用 sudo 命 令 时 拥有 和 root 用 户 一 样 的 权限 。 


一 name: 为 普通 用 户 赋予 所 有 root 权 限 
lineinfile: 
dest: /etc/sudoers 
regexp: '^%johndoe' 
line: 'johndoe ALIL= (ALL) NOPASSWD: ALL' 
state: present 


当 手 动 对 sudo 命 令 的 配置 文件 进行 修改 时 ， 我 们 应 当 使 用 修改 sudo 配 置 文 件 专用 的 viduso 命 令 ， 这 能 更 好 地 保证 对 sudo 进 行 配置 ， 并 防止 错误 修改 造成 命令 的 不 可 用 。 在 使 用 Ansible 的 lineinfile 模 块 
对 sudo 配 置 文件 进行 修改 时 ， 更 应 该 认真 检查 ， 确 保修 改 后 其 语法 的 正确 性 。 


另外 一 种 比较 稳妥 的 修改 sudo 配 置 文件 方法 是 ， 在 本 地 使 用 visudo 命 令 对 本 地 sudo 命 令 的 配置 文件 进行 修改 ， 然 后 使 用 copy 模 块 的 validate 关 键 字 在 将 配置 文件 复制 到 远程 主机 之 前 进行 语法 检查 。 代 
码 如 下 : 


=- name: Copy validated sudoers file into place. 
copy: 
src: sudoers 
dest: /etc/sudoers 
validate: 'visudo -cf %s' 


上 述 代 码 中 %s 是 一 个 文件 路 径 的 占 位 符 ， 在 文件 被 复制 到 远程 主机 之 前 ， 它 会 被 替换 为 src 后 面 的 文件 。 


11.4 ”操作 系统 简介 


在 配置 文件 管理 工具 流行 之 前 ， 服 务 器 经 常会 残留 一 些 不 再 使 用 的 软件 服务 ， 以 及 这 些 服务 所 使 用 的 端口 ， 这 不 仅 使 用 服务 器 变 得 缓慢 腑 肿 ， 同 时 这 些 开 放 的 端口 和 老 旧 的 软件 都 给 外 部 攻击 造成 了 潜 
在 风险 。 


及 时 关闭 服务 器 上 不 再 需要 的 服务 ， 卸 载 不 相关 的 软件 ， 并 清理 不 再 需要 执行 crontab 任 务 ， 这 不 仅 可 以 帮助 服务 器 “瘦身 ”， 还 可 以 提高 服务 器 的 安全 性 。 在 完全 使 用 Ansible 来 管理 维护 的 服务 器 架 
构 中 ， 这 些 工作 将 变 得 非常 简单 。 你 可 使 用 事先 写 好 的 Playbook 或 Role 快速 地 部 署 一 台 全 新 的 服务 器 来 取代 旧 服 务 器 ， 或 者 简单 地 列 出 一 个 需要 有 删除 的 软件 列表 ， 利 用 Ansible 进 行 批量 卸载 。 比 如 下 面 这 
个 简单 实用 的 例子 : 


- name: 卸载 不 需要 的 软件 
apt: name={{ item }} state=absent purge=yes 
with items: 
- apache2 
- nano 
- mailutils 


在 Ansible 中 ， 像 YUM、apt、file 以 及 mysql_db 这 些 模 块 ， 它 们 都 有 一 个 相同 的 选项 state， 设 置 其 值 为 absent， 可 以 将 指定 的 任务 软件 、 文 件 或 者 数据 库 删 除 掉 。 妥 善 利用 这 些 功能 ， 可 以 大 大 提高 
运 维 人 员 的 工作 效率 ， 节 省 大 量 时间 。 


只 开放 需要 用 到 的 端口 ， 关 闭 那些 可 有 可 无 的 端口 将 会 大 大 减少 外 部 环境 对 主机 的 攻击 面 ， 同 时 也 会 降低 我 们 防火 墙 的 复杂 度 。 举 例 来 说， 不 加 任何 限制 就 对 外 开放 的 25 号 端口 会 给 外 部 网 络 提供 大 量 
的 主机 信息 ， 所 以 ， 如 果 你 的 主机 不 是 一 台 SMTP 服 务 器 的 话 ， 务 必 关 闭 这 个 端口 。 同 时 ， 也 要 确保 那些 需要 被 开启 的 端口 ， 只 能 连接 依赖 的 客户 端 。 


11.5 ”遵守 权限 最 小 化 原则 


生产 环境 中 ， 主 机 上 面 所 有 的 用 户 、 应 用 以 及 进程 都 应 该 只 允许 访问 他 们 本 身 需 要 访问 的 信息 (文件 ) 和 资源 (内存 、 网 络 商品 等 ) ， 一 点 也 不 多 ， 一 点 也 不 少 。 


本 章节 中 介绍 的 其 他 几 种 安全 策略 都 涉及 权限 最 小 化 原则 。 在 权限 最 小 化 原则 实施 的 过 程 中 ， 最 直接 也 是 最 基本 的 两 个 方向 就 是 : 权限 管理 与 文件 权限 管理 。 二 者 看 似 简单 ， 实 则 与 整个 系统 的 安 
全 息息相关 。 


11.5.1 ”用户 管理 


系统 上 的 每 一 个 新 增 用 户 的 权限 默认 都 是 被 适当 限制 过 的 。 新 增 用 户 通常 都 有 一 个 家 目录 ， 且 用 户 对 家 目录 下 的 所 有 文件 和 目录 具有 最 高 权限 ， 但 是 对 于 家 目录 以 外 的 目录 与 文件 的 权限 都 需要 被 重新 
赋予 。 


通常 ， 为 用 户 新 增 权限 的 方法 有 两 种 。 


“ 添加 用 户 至 其 他 用 户 组 中 ， 以 继承 该 用 户 组 的 权限 。 


: 为 用 户 开放 sudo 权 限 ， 使 得 其 可 以 以 troot 或 其 他 用 户 的 身份 来 执行 命令 或 访问 文件 。 


以 上 这 些 就 是 用 户 权限 管理 的 基本 方法 ， 更 多 方法 可 以 参考 11.5.2 节 的 文件 权限 管理 方法 。 


11.5.2 ”文件 权限 管理 


Ansible 中 每 一 个 与 文件 管理 相关 的 模块 中 都 有 文件 权限 管理 的 选项 可 用 ， 这 些 选 项 包括 : owner、group 和 mode。 每 一 次 当 我 们 使 用 copy、template、file 等 模块 来 操作 管理 文件 的 时 候 ， 都 应 该 使 
这 些 选 项 来 明确 指定 文件 权限 及 其 归属 。 比 如 ，Gitlab 的 配置 文件 应 该 只 能 被 root 用 户 读 取 和 修改 ， 其 他 任何 用 户 都 没有 权限 。 我 们 可 以 进行 如 下 配置 : 


一 name: 设置 Gitlab 配 置 文件 的 权限 
file: 
path: /etc/gitlab/gitlab.rb 
Owner: root 
group: root 
mode: 0600 


对 于 一 些 新 手 管理 员 来 阅 ， 经 常会 给 文件 设置 过 于 宽松 的 权限 ， 比 如 当 服 务 遇 到 文件 权限 问题 的 时 候 ， 为 了 方便 省 事 ， 直 接 把 相关 文件 权限 设置 为 777， 甚 至 对 整个 目录 设置 777 的 权限 。 


为 了 满足 用 户 对 某 些 文件 或 目录 的 权限 需求 ， 比 如 Web 服 务 器 上 的 httpd 用 户 或 Nginx 用 户 需 对 网 站 文件 拥有 权限 ， 正 确 的 做 法 是 修改 文件 或 目录 的 权限 来 适应 用 户 ， 而 不 是 扩大 用 户 的 权限 来 得 到 某 些 
权限 的 满足 。 


11.6 “定期 维护 更 新 


在 我 们 的 服务 器 上 ， 每 一 年 所 有 软件 的 安全 更 新 有 上 百 次 甚至 更 多 。 这 其 中 有 一 些 是 针对 修复 对 系统 有 严重 威胁 的 漏洞 的 (比如 当年 的 Heatbleed 漏 洞 ) ， 如 果 这 些 漏洞 没有 及 时 更 新 软件 或 打 相 应 的 
补丁 ， 将 会 对 系统 安全 造成 严重 威胁 。 


我 们 应 该 安排 定期 进行 补丁 维护 和 软件 更 新 检查 。 在 对 线 上 生产 服务 器 上 的 软件 打 补丁 或 更 新 升级 之 前 ， 应 当 在 非 关键 服务 器 或 环境 相同 的 测试 服务 器 上 进行 测试 ， 在 确定 没 问题 的 情况 下 再 对 线 上 生 
产 服务 器 进行 操作 。 


11.6.1 手动 更 新 


在 使 用 了 Ansible 维 护 的 服务 器 架构 中 ， 我 们 只 需要 下 面 一 条 简单 的 Ansible 命 令 就 可 以 完成 系统 上 所 有 软件 的 更 新 升级 操作 。 


对 于 RedHat 和 CentOS 等 系统 来 说， 使 用 如 下 命令 : 


ansible webservers -m yum -a "name=* state=latest" 


对 于 Debian 和 Ubuntu 等 系统 来 说 ， 使 用 如 下 命令 : 


ansible webservers -m apt -a "upgrade=dist update cache=yes" 


然而 ， 在 有 些 情况 下 我 们 只 需 实施 与 安全 有 关 的 更 新 ， 或 者 只 更 新 某 些 软件 。 在 仍 需 要 使 用 这 两 个 命令 的 前 提 下 ， 我 们 可 以 通过 修改 YUM 软 件 和 apt 软 件 的 配置 文件 来 进行 定义 。 


11.6.2 ”自动 定时 更 新 


我 们 还 可 以 在 系统 上 设置 每 天 或 每 周 定时 进行 软件 更 新 ， 这 样 可 以 使 系统 更 新 这 一 东 作 更 稳定 、 更 有 规 得 


地 执行 下 去 ， 从 而 减少 人 力 成 本 。 但 是 现实 中 ， 有 些 环境 是 不 允许 机 器 自动 更 新 软件 的 ， 因 为 


自动 更 新 本 身 列 含 着 一 些 风险 ， 比 如 有 些 软件 的 最 新 版 确实 修正 了 之 前 版 本 的 一 些 不 足 ， 但 是 它 的 新 增 功能 可 能 与 系统 上 自己 开发 的 一 些 程序 的 兼容 性 不 足 ， 从 而 使 得 整个 系统 不 可 用 。 如 果 你 的 系统 上 不 


存在 这 些 问题 ， 那 么 使 


对 于 RedHat6 及 其 以 后 版 本 的 系统 来 说 (包括 Fedora 和 CentOS) 都 可 以 使 用 一 个 叫 YUM-cron 的 软件 进行 软件 包 更 新 管理 。 其 


来 实现 如 下 即 可 : 


自动 定时 更 新 软件 ， 可 以 更 进一步 增加 系统 安全 性 。 


1. 自 动 更 新 RedHat 系 统 上 的 软件 


法 很 简单 ， 使 


YUM 安 全 后 ， 保 证 开机 启动 就 可 以 了 。 使 用 Ansible 


=- name: 安装 yum-cron. 
yum: name=yum-cron state=present 
一 name: 运行 yum-cron 并 设置 开机 启动 
service: name=yum-cron state=started enabled=yes 


更 多 的 配置 可 以 通过 修改 YUM 的 配置 文件 /etc/yum.conf 来 实现 。 


2. 自 动 更 新 Debian 系 统 上 的 软件 


Debian 系 统 及 其 衍生 版 都 使 


于 /etc/apt/apt.conf.d/。 


一 款 名 叫 unattended-upgrades 的 软件 来 实现 自动 化 软件 包 更 新 管理 ， 这 款 软件 和 前 面 讲 的 YUM-cron 一 样 ， 非 常 便 于 安装 和 配置 ， 并 且 支 持 多 配置 文件 ， 存 放 


- name: 安装 unattended-upgrades 
apt: name=unattended-upgrades state=present 


一 name: 将 配置 文件 复制 到 配置 目录 中 


template: 


src: "http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15935/OEBPS/Text/../templates/{{ item }}.j2" 
dest: "/etc/apt/apt.conf.d/{{ item }}" 


Owner: root 
group: root 


mode: 0644 
with items: 


=- lO0periodic 


- 50unattended-upgrades 


上 例 中 复制 的 unattended-upgrade 配 置 文 件 10periodic 的 内 容 如 下 : 


# File: /etc/apt/apt.conf.d/1l0periodic 
APT: :Periodic: :Update-Package-Lists "1"7 // 显示 更 新 包 列 表 ，0 表 示 停 用 设置 


APT: : Periodic: :Download-Upgradeabl 
APT: :Periodic: :AutocleanInterval "7 


ackages "1";// 下 载 更 新 包 ，0 表 示 停 用 设置 
// 7 天 自动 删除 


APT: :Periodic: :Unattended-Upgrade nn // 启用 自动 更 新 ，0 表 示 停 用 自动 更 新 


配置 文件 50unattended-upgrades 的 内 容 如 下 : 


# File: /etc/apt/apt.conf.d/50unattended-upgrades 
Unattended-Upgrade: :Automatic-Reboot "false"; 
Unattended-Upgrade: :Allowed-Origins { 

"Ubuntu lucid-security"; 

// "Ubuntu lucid-updates"; 


a 


这 个 配置 文件 提供 了 更 新 配置 选项 ， 比 如 对 于 那些 更 新 后 需要 重启 服务 器 才能 生效 的 软件 ， 在 更 新 过 这 些 软件 后 ， 是 否 自动 重启 服务 器 ， 以 及 在 检查 更 新 软件 ， 需 要 检测 哪些 APT 源 来 查找 更 新 等 。 


11.7 善 用 lptables 防 火 墙 


假如 现在 我 们 建设 一 所 银行 的 金库 ， 我 们 肯定 不 想 这 座 金 库 有 太 多 的 门 和 窗户 与 外 界 相通 。 相 反 我 们 使 用 更 坚固 的 墙 ， 以 及 最 多 一 到 两 个 结实 的 强 金 属 大 门 。 


同样 的 道理 ， 对 于 我 们 的 服务 器 而 言 ， 那 些 没有 明确 指明 需要 开启 的 端口 
防火 墙 的 职责 范围 内 。 如 今 已 经 有 好 多 种 管理 防火 墙 的 工具 ， 比 如 iptables、ufw 以 及 firewalld 等 。 另 外 一 些 云 3 


安 骑 士 等 。 


在 Debian 及 衍生 系统 中 ， 我 们 使 用 管理 防火 墙 。 下 面 一 个 例子 中 ， 我 们 将 看 到 如 何 借助 Ansible 来 关闭 Debian 系 统 中 除了 22 (SSH) 、80 (HTTP) 、123 (NTP) 号 端口 以 外 的 其 他 所 有 端口 。 


就 像 金库 中 多 余 的 窗户 一 样 ， 需 要 被 完全 关闭 。 对 于 那些 需要 被 开启 的 端口 ， 也 需要 对 它 的 访问 权限 进行 有 效 的 限制 。 这 就 在 
EF 机 供应 商 也 提供 了 一 些 针对 自身 平台 主机 的 防火 墙 服务 ， 比 如 AWS 的 安全 组 以 及 阿里 云 的 


一 name: 使 用 ufw 模 块 来 管理 哪些 端口 需要 开启 


ufw: 


rule: "{{ item.rule }}" 
port: "{{ item.port }}" 
proto: "{{ item.proto }}" 


with items: 


- { rule: 'allow', port: 22, proto: 'tcp' 
-1{ rule; "allow's port: 80, proto: 'tep!' 


=- { rule: 'allow', port: 123, proto: 'udp' } 
一 name: 配置 网 络 进出 方向 的 默认 规则 


ufw: 
direction: 


"{{ item.direction }}" 


policy: "{{ item.policy }}" 
state: enabled 


with items: 


- { direction: outgoing, policy: allow } 
- { direction: incoming, policy: deny } 


上 述 Playbook 任 务 运行 之 后 ， 登 录 对 方 主机 ， 使 用 sudo ufw status verbose 命 令 可 以 看 到 详细 的 配置 信息 。 


Status: active 


Logging: on (low) 


Default: deny (incoming), allow (outgoing), disabled (routed) 


New profiles: skip 


To Action From 


22/tcp ALLOW IN Anywhere 
80/tcp ALLOW IN Anywhere 
123/udp ALLOW IN Anywhere 
22/tcp (v6) ALLOW IN Anywhere (v6) 
80/tcp (v6) ALLOW IN Anywhere (v6) 


123/udp (v6) ALLOW IN Anywhere (v6) 


在 Redhat 及 其 衍生 系统 中 ， 我 们 使 用 Ansible 的 firewalld 模 块 来 完成 防火 墙 的 管理 。 


一 name: 使 用 firewal1d 模 块 管理 端口 

firewalld: 
state: "{{ item.state }}" 
port: "{{ item.port }}" 
zone: external 
immediate: yes 
permanent: yes 

with items: 
=- { state: 'enabled', port: '22/tcp' } 
=- { state: 'enabled', port: '80/tcp' } 
- { state: 'enabled', port: '123/udp' } 


Os 


本 例 中 ，immediate 选 项 从 Ansible 版 本 1.9 之 后 开始 引入 ， 用 来 定义 规则 在 配置 完成 后 是 否 立 即 生 效 。 如 果 使 用 的 是 1.9 之 前 的 版 本 的 ， 那 么 需要 重启 防火 墙 来 让 新 规则 生效 ， 或 者 将 permanent 选 项 的 值 设 


为 no。 


firewalld 模 块 并 不 能 针对 网 络 进出 口 方向 进行 管理 ,但 是 我 们 可 以 借助 iptables 模 块 或 者 直接 修改 /etc/firewalld 目 录 下 的 防火 墙 配 置 文件 来 进行 配置 。 


我 们 使 用 firewall-cm 命 令 可 以 查看 当前 系统 上 哪些 端口 是 被 防火 墙 放行 的 。 


sudo firewall-cmd --zone=external --list-all 


运行 结果 如 下 : 


external 
interfaces: 
sources: 
services: ssh 
ports: 123/udp 80/tcp 22/tcp 
masquerade: yes 
forward-ports: 
icmp-blocks: 
rich rules 


bi 


最 后 ， 使 用 什么 方法 来 管理 防火 墙 并 没有 太 大 区 别 ， 的 是 要 遵循 权限 最 小 化 原则 ， 只 开放 端口 给 那些 需要 依赖 此 端口 才能 正常 实现 其 功能 的 主机 。 


Os 


在 配置 防火 墙 时 ， 一 定 要 注意 的 一 点 是 : 不 要 一 不 小 心 把 自己 管理 主机 要 用 到 的 IP 地 址 和 端口 给 屏蔽 了 ， 这 样 ， 你 将 不 得 不 亲自 或 请 人 直接 连接 服务 器 的 本 地 终端 进行 解 封 。 


11.8 “定期 磁盘 这 检 


通过 检查 服务 器 日 志 ， 不 仅 可 以 查看 已 经 发 生 的 攻击 情况 ， 还 可 以 通过 已 有 日 志 记录 来 预测 高 流量 攻击 和 潜在 风险 。 但 是 ， 如 果 日 志 没有 被 正确 地 管理 和 分 析 ， 那 么 它 将 变 得 毫 无 用 ， 甚 至 会 对 系统 造 
成 拖累 ， 占 用 大 量 磁 盘 空间 ， 影 响 磁 盘 性 能 。 


不 同 的 服务 器 上 需要 监控 和 管理 的 日 志 种 类 也 各 不 相同 ， 但 是 通常 来 说 ， 需 要 多 加 注意 的 日 志 种 类 有 : 数据 库 的 慢 查 询 日 志 、Web 服 务 器 的 访问 日 志和 错误 日 志 、 系 统 认 证 审计 日 志 以 及 crontab 日 
志 。 我 们 可 以 采用 目前 比较 流行 的 ELK 系 统 对 日 志 进行 全 面 的 分 析 ， 也 可 以 利用 Nagios、Zabbix 等 监控 工具 对 日 志 进 行 监控 报警 。 


此 外 ， 我 们 还 应 该 使 用 类 似 logrotate 的 日 志 管 理工 具 对 日 志文 件 进行 定期 的 切割 和 归档 ， 当 然 可 以 根据 自身 需要 编写 脚本 ， 来 实现 更 符合 自身 业务 场景 的 日 志 管 理工 具 。 我 们 应 该 对 日 志文 件 的 大 小 多 
加 留意 ， 说 防 其 尺寸 大 大 ， 占 用 过 多 磁盘 空间 而 影响 其 应 用 的 正常 运行 。 大 日 志 切 割 归档 时 ， 可 以 根据 日 志文 件 的 大 小 来 制定 规则 ， 并 及 时 清除 过 期 的 日 志文 件 。 


11.9 ”系统 登录 日 志 审 记 


任何 一 台面 向 公 网 开放 22 号 端口 并 允许 使 用 密码 远程 登录 的 主机 ， 都 无 时 无 刻 不 面 临 着 洪水 般 的 密码 暴力 三 角 攻 击 。 对 于 很 多 知名 的 服务 器 站 点 ， 通 常情 况 下 每 小 时 都 可 以 侦 测 到 上 万 次 的 攻击 。 


如 果 在 不 得 已 的 情况 下 ， 人 允许 用 户 使 用 密码 远程 登录 你 的 主机 ， 那 么 这 时 就 需要 部 署 一 些 针对 登录 情况 的 监控 机 制 ， 以 及 设置 登录 频率 的 限制 。 至 少 需要 安装 像 DenyHosts 和 Fail2Ban 这 类 可 以 根据 日 
志文 件 、 基 于 登录 失败 频率 来 自动 屏蔽 可 疑 IP 的 软件 。 


下 面 介绍 如 何 通 过 Ansible 同 时 在 Debian 和 RedHat 系 统 上 批量 部 署 Fail2Ban 软 件 ， 并 设置 开机 启动 。 


- name: 在 RedHat 系 统 上 安装 Fail12Ban 
yum: name=fail2ban state=present enablerepo=epel 
when: ansible os family == 'RedHat' 


- name: 在 Debian 系 统 上 安装 Fail12Ban 
apt: name=fail2ban state=present 
when: ansible os family == 'Debian’' 


- name: 启动 软件 ， 并 设置 开机 启动 


service: name=fail2ban state=started enabled=yes 


Doo~amwmewmnP 


人 


Fail2Ban 软 件 的 配置 文件 由 /etc/fail2ban 目 录 下 的 多 个 以 .conf 结 尾 的 文件 构成 ， 这 些 文件 中 的 配置 可 以 覆盖 默认 /etc/fail2ban/jail.local 中 的 配置 。 


11.10 “正确 使 用 SELinux 和 AppArmor 


SELinux 和 AppArmor 都 可 以 用 来 为 内 存 和 文件 系统 构建 安全 沙 盒 ， 比 如 控制 一 个 应 用 不 能 访问 另 一 个 应 用 的 资源 ， 这 有 点 像 文件 的 属 主 和 属 组 权限 的 管理 ， 但 是 与 之 相 比 ，SELinux 和 AppArmor 能 做 
到 更 为 精细 和 复杂 的 权限 控制 。 但 正 是 由 于 它们 过 于 详细 的 权限 控制 和 复杂 配置 ， 大 多 数 人 并 不 愿意 开启 这 两 款 软件 。 尤 其 是 对 于 安装 了 一 些 非 大 众 软件 的 服务 器 ， 这 两 款 软件 对 它 的 支持 并 不 好 ， 但 是 对 


于 像 Apache 和 MySQL 这 样 的 大 众 软件 ， 这 两 款 软件 对 它们 的 支持 还 是 非常 好 的 。 


相对 于 AppArmor 来 说 ，SELinux 的 流行 度 更 高 一 些 。SElinux 的 预 设 策略 有 两 种 ， 其 一 是 strict (完全 限制 的 SElinux 保 护 ) ， 另 外 一 种 是 targeted ( 仅 对 网 络 服务 限制 严格 的 SElinux) 。 如 果 你 的 服务 
器 上 运行 了 多 个 服务 ， 并 且 包含 了 面向 Web 的 应 用 ， 那 么 这 种 场景 下 使 用 SELinux 的 targeted 策 略 将 会 在 各 应 用 间 提 供 更 好 的 安全 隔离 。 


要 合适 Ansible 配 置 SELinux 开 启 targeted 策 略 ， 需 要 安装 Python 的 SELinux 库 ， 然 后 利 使 用 Ansible 的 selinux 模 块 开 启 targeted 策 略 。 


- name: Install Python SELinux library. 
yum: name=libselinux-python state=present 

- Ensure SELinux is enabled in ‘targeted. mode. 
selinux: policy=targeted state=enforcing 


还 可 以 利用 Ansible 的 seboolean 模 块 来 设置 SELinux 的 booleans。 最 常见 的 用 法 是 通过 修改 httpd_can_network_connect 的 boolean 值 来 为 Web 服 务 开通 访问 外 网 的 权限 。 代 码 如 下 : 


一 name: 为 Web 服 务 开通 访问 外 网 的 权限 
seboolean: name=httpd can network connect state=yes persistent=yes 


Ansible 的 file 模 块 与 SELinux 也 有 非常 好 结合 ， 这 使 得 file 模 块 可 以 为 文件 和 目录 设置 4 种 安全 上 下 文 ， 为 分 别 为 : selevel、serole、setype、euser。 它 们 分 别 作 用 于 不 同 的 对 象 和 范 上 


SELinux 除 了 strict 和 targeted 两 种 默认 策略 外 ， 还 支持 自 定义 策略 ， 但 是 定义 方法 极其 复杂 ， 也 超越 了 本 章 的 介绍 范围 ， 这 里 将 针对 这 部 分 进行 深入 讲解 。 但 是 我 们 应 该 能 够 熟悉 使 用 像 
setroubleshoot、etroubleshoot-server、getsebool 以 及 aureport 这 样 的 命令 来 查看 哪些 内 容 是 用 SELinux 屏 蔽 的 ， 哪 些 boolean 是 可 用 的 ， 以 及 哪些 boolean 是 开启 的 、 哪 些 是 关闭 的 。 


下 一 次 ， 当 你 准备 关闭 一 台新 服务 器 的 SELinux 的 时 候 ， 要 先 稍微 花 些 时 间 思 考 一 下 ， 再 根据 自身 的 业务 场景 来 设置 正确 的 SELinux 权 限 。 小 小 的 习惯 改变 ， 将 会 对 服务 器 安全 带 来 质 的 提升 。 


11.11 本 章 小 结 


本 章节 是 对 Linux 系 统 安全 实践 的 一 个 概览 ， 同 时 展示 了 如 何 借助 Ansible 来 实现 这 些 安全 措施 。 系 统 安全 无 小 事 ， 每 一 个 安全 细节 的 完善 对 整个 系统 来 说 都 有 巨大 意义 ，Ansible 在 这 方面 也 有 着 非常 完 
美的 支持 。 善 用 Ansible 不 仅 可 提高 我 们 的 运 维 工作 效率 ， 也 能 提升 系统 的 整体 安全 性 。 
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第 12 章 ”Ansible 模 块 编写 


如 今 Ansible 在 GitHub 上 的 关注 度 在 系统 管理 领域 已 经 跃 居 第 一 ， 这 不 仅仅 归功 于 它 易于 使 用 、 便 于 部 署 的 特点 ， 有 一 点 我 们 不 能 忽略 ， 那 就 是 它 有 众多 的 项 目 贡献 者 ， 无 论 是 基于 核心 代码 还 是 模 
块 ， 都 有 开发 者 加 入 其 中 。Ansible 已 经 为 大 家 提供 了 模块 编写 基础 库 ， 我 们 只 要 学 会 使 用 它 ， 就 可 以 开始 Ansible 模 块 的 编写 ， 从 而 为 该 项 目 贡献 自己 的 一 份 力量 。Ansible 模 块 的 编写 其 实 并 不 困难 ， 通 过 
本 章 内 容 的 学 习 ， 你 就 可 以 了 解 目前 大 多 数 一 直 在 被 我 们 使 用 的 Ansible 模 块 的 工作 原理 。 


12.1 初步 认识 Ansible 模 块 


在 写 Ansible 模 块 之 前 ， 需 要 了 解 我 们 现在 使 用 的 一 些 常用 模块 的 工作 原理 。 我 们 将 分 如 下 3 个 方面 介绍 : 


. 如 何 使 用 这 些 模块 ; 
. 程序 为 什么 能 识别 它们 ; 


. 模块 的 工作 特 1 


性 。 


(1) 如 何 使 用 这 些 模块 


如 果 要 使 用 系统 的 Ansible 模 块 ， 在 命令 行 中 ， 我 们 只 要 指定 -m 后 添加 这 个 模块 名 就 可 以 了 (例如 ， 我 们 平时 使 用 的 command 和 shell 均 属于 系统 模块 。 执 行 命令 ansible-doc list 获 取 所 有 系统 模 
块 ) ， 而 在 Ansible-playbook 中 ， 我 们 在 编写 YML 格 式 的 文件 时 ， 只 要 把 模块 名 写 在 该 行 开头 并 加 上 冒号 ， 就 可 以 继续 使 用 了 (在 YML 文 件 某 行 写 上 我 们 经 常 使 用 的 模块 ， 如 shell: echo xxx) 。 


(2) 程序 为 什么 能 识别 它们 
有 两 种 方法 可 以 使 Ansible 程 序 去 识别 模块 。 


1) 寻找 Ansible 代 码 的 模块 所 在 目录 。 我 们 只 要 到 Ansible 代 码 目录 下 找到 core 文 件 夹 (比如 /usr/local/lib/python2.7/dist-packages/ansible/modules/core) ， 把 我 们 编写 的 模块 放 到 其 中 ， 该 模块 
即 可 被 我 们 调用 了 。 


2) 通过 Ansible 提 供 的 配置 文件 制定 模块 的 目录 。 我 们 可 以 把 自己 编写 的 模块 放 到 /etc/ansible/ansible.cfg 中 library 定 义 的 目录 下 (比如 library=/mywork/ansible/modules/) ， 这 种 方法 比较 推 
荐 。 


以 上 两 种 方法 都 可 以 使 我 们 之 前 编写 的 模块 正常 被 Ansible 程 序 所 识别 。 


(3) 模块 的 工作 特性 


所 有 core 目 录 下 的 Ansible 模 块 ， 如 果 使 用 到 Ansible 提 供 的 ansible.module_utils.basic 这 个 基础 模 组 ， 所 有 在 模块 里 写 的 程序 都 是 到 远程 机 器 才 执行 的 ， 所 有 操作 将 不 再 和 安装 有 Ansible 的 主机 有 联系 
了 。 可 能 读者 会 问 ， 比 如 ping 这 个 模块 ， 以 及 一 些 传输 的 模块 (copy、synchronize 等 ) ， 它 们 确实 在 core 目 录 下 面 ， 但 好 像 都 与 Ansible 的 主机 有 关系 。 这 里 解释 一 下 ， 关 于 ping 这 个 模块 ， 相 当 于 登录 远 
程 机 器 上 echo 了 一 个 pong， 而 copy 和 synchronize 这 些 文件 传输 模块 不 是 用 的 core 目 录 下 的 这 些 模块 ， 而 是 使 用 了 unneraction_plugins 目 录 下 的 对 应 模块 。 所 以 我 们 在 编写 Ansible 模 块 的 时 候 ， 一 定 要 
注意 ， 我 们 一 旦 使 用 了 ansible.module_utils.basic 这 个 基础 模 组 编写 出 来 的 模块 将 不 能 对 装 有 Ansible 的 主机 做 任何 操作 ， 所 有 操作 都 是 在 agent 的 机 器 上 面 的 。 


12.2 ”Ansible 简 单 模块 编写 


接 下 来 ， 我 们 来 编写 一 个 简单 的 Ansible 模 块 。 先 看 下 我 们 要 实现 的 目标 命令 : 


ansible xxx -m echopong 


我 们 在 远程 机 器 xxx 上 执行 以 下 命令 (比如 echo pong) : 


ansible xxx -m shell -a "echo pong" 


那么 我 们 就 来 完成 和 以 上 命令 性 质 相同 的 模块 吧 。 


在 开始 编写 属于 我 们 自己 的 模块 之 前 ， 我 们 要 做 几 个 准备 工作 。 
步骤 1: 创建 一 台 测试 的 agent 机 器 test。 
在 把 test 机 器 与 我 们 的 Ansible 主 机 建立 信任 后 ， 再 在 Ansible 的 hosts 配 置 文件 上 填写 对 应 的 信息 (比如 test xxx.xxx.xxx.xxx) 即 可 。 


步骤 2: 在 对 应 目录 下 新 建 模块 echopong。 


如 12.1 节 介绍 ， 要 让 程序 去 识别 我 们 的 模块 ， 就 必须 先 定义 一 个 目录 ， 这 里 我 们 就 使 用 Ansible 默 认 的 模块 目录 /usr/share/ansible/， 在 该 目录 里 创建 文件 名 为 echopong 的 模块 。 


步骤 3: 开始 设 定 我 们 的 目标 ， 并 开始 编写 。 


同样 ， 我 们 要 在 远程 机 器 test 上 执行 echo pong， 但 不 使 用 Shell 模 块 来 实现 echo pong， 实 现 的 效果 如 以 下 命令 : 


ansible test -m echopong 


为 了 实现 这 个 目的 ， 我 们 用 图 12-1echopong 模 块 编写 流程 图 表示 ， 绝 大 多 数 Ansible 模 块 的 编写 都 依据 此 流程 。 在 图 12-1 流 程 图 的 第 4 步 ， 大 家 可 以 更 换 其 他 的 执行 程序 大 纲 ， 还 可 以 在 第 4 步 增加 退出 
模块 的 相关 条 件 ， 从 而 对 模块 进行 横向 扩展 。 


2. 导 入 Ansible 基 础 模块 


3. 为 模块 初始 化 参 关 


5. 为 结 来 提供 信息 


访 Ansible 模 二 


图 12-1 echopong 模 块 编写 流程 图 


1) 为 该 模块 取 名 为 echopong， 并 放 入 /usr/share/ansible/， 文 件 在 本 章 的 12_2/echopong。 


2) 第 1 行 写 上 路 径 声明 的 话 (不 写 的 话 ， 运 行 的 时 候 可 能 会 报错 ) ， 第 2 行 则 是 引入 一 些 基础 的 Ansible 模 块 组 件 。 具 体 示 例如 下 : 


# !/usr/bin/python 
from ansible.module utils.basic import * 
import os 


3) 为 模块 传 入 必要 的 参数 ， 因 为 在 这 里 我 们 不 需要 传递 参数 ， 那 么 在 参数 方面 ， 我 们 只 要 简单 地 调用 Ansible 默 认 传递 参数 的 类 就 可 以 了 。 


module = AnsibleModule (argument spec = dict()) 


4) 执行 我 们 要 执行 的 Shell 命 令 。 


os.system('echo pong') 


5) 提供 结果 信息 echo pong， 主 要 为 了 告诉 我 们 这 个 模块 干 了 什么 。 


result = dict (echo='pong') 


6) 退出 Ansible 这 次 模块 ， 并 返回 信息 。 


module.exit json(**result) 


你 可 以 下 载 这 些 代 码 段 ， 我 们 会 将 把 代码 放 在 GitHub 上 。 


cd your module path 间 cd 到 你 已 经 定义 的 模块 路 径 ， 如 /usr/share/ansible/ 
wget https:// raw.githubusercontent.com/stanleylst/ansibleUI/master/Chapter_ 12/12-2/echopong 


这 样 ， 我 们 写 了 这 短 短 的 6 行 就 可 以 实现 在 远 端 机 器 完成 Shell 命 令 echo pong 这 个 操作 ， 读 者 只 要 运行 ansible test-m echopong 这 条 命令 进行 测试 即 可 。 


12.3 ”模块 变量 添加 


通过 12.2 的 内 容 ， 我 们 成 功 地 完成 了 echo pong 这 个 模块 的 编写 。 但 仅仅 这 样 的 话 ， 这 个 模块 就 显得 太 单薄 了 ， 没 法 给 使 用 者 更 多 的 选择 ， 如 果 能 把 变量 引入 其 中 的 话 我 们 就 可 以 像 脚 本 一 样 去 传 入 参 
数 了 。 那 么 我 们 接 下 来 就 要 学 习 怎么 传递 参数 到 模块 中 了 。 我 们 先 设 定 一 个 目标 ， 把 echo pong 改 成 echo 我 们 传递 进去 的 一 个 参数 。 假 定 以 下 命令 : 


ansible test -m echo -a "args='pongpong'" 


首先 我 们 需要 在 图 12-1 流 程 图 中 第 3 步 传 递 一 个 叫 args 的 参数 : 


module = AnsibleModule( 
argument_ spec = dict( 
args=dict (required=True)), 
) 


required=True 说 明 这 条 命令 必须 要 有 “args=′ xxx””， 否 则 将 会 报错 。 


对 应 地 ， 我 们 需要 修改 第 4 步 中 的 shell 操 作 ， 把 这 个 args 的 变量 传递 到 Shell 中 去 ， 这 样 我 们 就 成 功 地 把 我 们 定义 的 参数 args 引 入 到 这 个 模块 中 去 了 。 


args = module.params['args'] 
os.system('echo {0}'.format (args) ) 


最 后 ， 我 们 只 要 修改 第 5 步 中 的 输出 结果 就 可 以 了 。 


result = dict (echo=args) 


其 他 代码 不 变 ， 让 我 们 来 测试 下 ， 当 运行 ansible test-m echo-a"args='pongpong'"" 这 条 命令 之 后 结果 如 下 : 


test | SUCCESS => { 
"changed": false, 
"echo": "pongpong" 
} 


这 样 我 们 就 完成 了 传递 参数 的 过 程 。 只 要 学 会 这 些 ， 我 们 就 可 以 写 一 些 自 定义 的 基础 Ansible 模 块 了 。 


同样 ， 为 了 节省 大 家 时 间 ， 可 以 下 载 GitHub 上 的 代码 片段 。 


cd your module path 
wget https:// raw.githubusercontent.com/stanleylst/ansibleUI/master/Chapter 12/12-3/echopong 


我 们 还 可 以 定义 其 他 变量 的 类 型 ， 下 列 都 是 我 们 经 常 使 用 的 变量 类 型 : 


必 填 项 : name=dict (required=True) 。 

默认 值 : default=dict (default='present') 。 

选择 项 : choices=dict (default='present'，choices=['present'，'absent]) 。 
布尔 值 : bools=dict (type='bool') 。 

字符 型 : str=dict (type='str) 。 


任 选 变量 : name1=dict (aliases=['name2', 'name3']) 。 


注 : 任 选 变量 的 用 法 为 变量 引用 时 ， 使 用 name1、name2、name3 这 三 个 变量 是 一 样 的 〈 例 如 : 执行 命令 ansible test-m echo-a “name1=' pongpong “ 


等 价 于 
ansible test-m echo-a“name2=” pongpong “ 
等 价 于 


ansible test-m echo-a“name3=”pongpong “ 


我 们 只 要 修改 第 4 步 中 的 变量 的 赋值 类 型 就 可 以 更 换 我 们 模块 中 所 需要 的 变量 的 类 型 了 。 大 家 可 以 自己 尝试 填 入 下 面 的 模板 : 


module = AnsibleModule( 
argument spec = dict( 
Args1l= 自 定义 区 域 1， # Argsl 
Args2= 自 定义 区 域 2， # Args2 


dict (default="'present') 
dict (type='bool') 


) 


12.4 ”模块 状态 返回 的 标识 及 应 用 


当 我 们 执行 自己 编写 的 模块 echopong 的 时 候 ， 会 得 到 以 下 返回 值 : 


test | SUCCESS => { 
"changed": false, 
"echo": "pongpong" 
} 


1) "changed": false 到 底 代 表 什 么 含义 ; 


[D 


可 不 可 以 把 它 改 成 "changed": true; 


3) 是 不 是 可 以 任意 添加 其 他 返回 值 的 结果 。 


第 1 个 问题 : 其 实 changed 并 不 代表 什么 ， 它 只 是 代表 一 个 记录 的 值 ， 我 们 后 续 可 以 根据 这 个 值 做 一 些 逻辑 判断 。 它 的 好 处 在 于 不 像 返 回 值 中 failed 那 么 严重 ， 当 "failed" : True 时 ， 会 导致 我 们 使 


ansible-playbook 时 ， 在 该 出 错 模块 上 停止 工作 。 


第 2 个 问题 : 那 我 们 怎么 把 它 改 为 "changed": true 呢 ? 其 实 很 简单 ， 我 们 简单 地 把 


12-1 流 程 | 


其 中 有 一 个 我 们 并 没有 定义 的 返回 值 "changed": false， 如 果 我 们 不 做 调整 的 话 ， 结 果 中 每 次 都 会 返回 


一 个 "changed": false。 针 对 这 个 问题 ， 我 们 要 解决 3 个 问题 : 


中 第 5 步 的 changed=True 赋 给 返回 的 结果 即 可 。 


result = dict (echo=args, changed=True) 


那么 我 们 得 到 的 返回 值 的 结果 如 下 : 


test | SUCCESS => { 
"changed": true, 
"echo": "pongpong" 

} 

cd your module path 


wget https:// raw.githubusercontent.com/stanleylst/ansibleUI/master/Chapter 12/12-4/1/echopong 


第 3 个 问题 : 根据 上 述 的 推算 ， 我 们 就 将 引出 很 多 返回 的 值 ， 可 以 任意 更 改 结构 。 比 如 我 们 可 以 把 


12-1 流 程 


中 的 第 5 步 修改 成 这 样 : 


result = dict (echo=args, changed=True, good='good', bad='bad') 


那么 我 们 得 到 的 返回 值 的 结果 就 将 是 : 


test | SUCCESS => { 
"pad": "bad", 
"changed": 


} 
cd your module path 


wget https:// raw.githubusercontent.com/stanleylst/ansibleUI/master/Chapter 12/12-4/2/echopong 


但 值得 提醒 一 点 的 是 ， 我 们 必须 避免 使 用 Ansible 模 块 中 已 经 被 使 用 的 一 些 字段 ， 它 们 的 意义 是 不 一 样 的 。 比 如 当 你 使 用 了 这 些 字 段 ， 那 就 代表 执行 的 结果 是 错误 的 ， 会 显示 红色 字样 ， 这 点 必须 注意 。 


result = dict (echo=args, changed=True, failed=True, rc=0) 


同样 ， 读 者 可 以 试 试 把 rc 这 个 值 不 赋值 为 0%， 看 看 返回 结果 又 是 什么 。 


cd your module path 


wget https:// raw.githubusercontent.com/stanleylst/ansibleUI/master/Chapter 12/12-4/3/echopong 


我 们 还 应 该 注意 的 是 ， 在 返回 值 中 应 该 避免 重 定义 系统 模块 变量 ， 这 很 重要 。 下 面 我 们 来 举 个 例子 ， 比 如 invocation 我 们 也 不 能 使 用 ， 因 为 无 论 我 们 怎么 声明 ， 到 最 后 它 都 会 被 覆盖 掉 。 那 我 们 来 试 试 


吧 。 


result = dict (echo=args, invocation=0) 


当然 ,我 们 期 待 的 结果 应 该 如 下 : 


test | success >> 1 
"changed": true, 
“invocation” :0, 
"result": "pongpong" 


但 其 结果 却 如 下 : 


test | success >> { 
"changed": true, 
"result": "pongpong" 
} 


这 是 因为 invocation 这 个 值 是 ansible-playbook 的 关键 字 ， 我 们 可 以 猜测 到 ， 在 最 后 赋值 后 ， 被 程序 再 一 次 赋值 了 ， 冲 掉 我 们 所 给 的 值 。 从 上 述 情况 看 来 ，invocation 应 该 是 一 个 空 值 ， 我 们 可 以 进 一 
步 去 验证 它 。 我 们 使 用 这 个 模块 写 一 个 ansible-playbook， 来 测试 下 这 个 值 是 否 在 playbook 的 结果 中 出 现 ， 结 果 是 否 会 被 我 们 定义 的 值 所 覆盖 。 我 们 定 一 个 文件 名 为 echopong.yml。 


- name: echopong 
hosts: localhost # 加 上 /etc/ansible/hosts 
# localhost ansible connection=local 
tasks: . 
— name: echo pongpong 
echo: args="pongpong" 
register: res 
- debug: var=res 


接 下 来 ， 我 们 执行 命令 : 


ansible-playbook echopong.yml 


我 们 可 以 得 到 的 结果 如 下 : 


http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15935/0EBPS/Text/... http://www.hzcourse.com/resource/readBook?path=/openresources/teach 
TASK: [echo JOngPONG] 大 大 太 炎 赤 炎炎 天 炎 克 天 赤 灾 炎 天 炎炎 天 天 炎炎 天 炎炎 天 天 炎炎 天 赤 炎 炎 天 炎炎 天 类 天 天 大 克 学 
changed: [test] 
TASK: [debug Var=TeS] 大 六 炎 大 大 炎炎 大大 大 炎 天 兴 炎 炎 天 炎炎 突 大 天 类 炎炎 天 兴 灾 赤 大 炎炎 大 炎炎 天 类 灾 炎 天 炎炎 灾 太 
ok: [test] => { 
var": { 
res": { 
"changed": true, 
"invocation": { 
"module args": "args=\"pongpong\"", 
"module complex args": {}, 
"module name": "echo" 
Es 
"echo": "pongpong" 


获取 代码 : 


wget https:// raw.githubusercontent.com/stanleylst/ansibleUI/master/Chapter 12/12-4/4/echopong.yml 
cd your module path 
wget https:// raw.githubusercontent.com/stanleylst/ansibleUI/master/Chapter 12/12-4/4/echopong 


返回 的 结果 中 invocation 这 个 值 不 是 我 们 设 定 的 1， 仍 然 为 它 原 来 的 值 。 通 过 上 述 例子 说 明 ， 我 们 要 尽量 避免 使 用 Ansible 输 出 结果 的 一 些 关键 字 。 


其 实 我 们 定义 额外 值 的 目的 在 于 ， 可 以 为 Ansible-playbook 中 的 条 件 提供 判断 ， 这 样 这 个 模块 就 更 具有 复杂 性 和 实用 意义 了 。 


那 我 们 就 来 简单 尝试 一 下 。 


这 里 我 们 增加 一 个 值 pass_code， 文件 echopong.py 如 下 : 


result = dict (echo=args, pass_code=0) 


接 下 来 ，Ansible-playbook 就 可 以 使 用 这 个 值 来 做 判断 了 。 这 样 ， 可 以 让 我 们 的 Ansible-playbook 更 具有 可 控 性 。 我 们 来 编写 一 个 echopong.yml 的 例子 来 使 用 pass_code， 当 pass_code 的 值 为 1 的 时 
候 ， 我 们 输出 一 个 正确 值 。 


- name: echopong 
hosts: localhost 


- name: echo pongpong 
echo: args="pongpong" 
register: res 

- name: check code 
debug: msg=ok 
when: res.pass code 一 1 


相信 大 家 已 经 得 到 自己 所 要 的 结果 了 ! 这 里 就 不 再 列 出 来 了 。 


可 使 用 GitHub 上 所 提供 的 示例 。 


wget https:// raw.githubusercontent.com/stanleylst/ansibleUI/master/Chapter 12/12-4/5/echopong.yml 
cd your module path 
wget https:// raw.githubusercontent.com/stanleylst/ansibleUI/master/Chapter 12/12-4/5/echopong 


通过 本 节 ， 我 们 理解 了 Ansible 模 块 的 返回 值 的 一 些 用 法 和 注意 点 ， 这 能 够 更 好 地 帮助 我 们 灵活 运用 这 些 返回 值 ， 为 后 续 写 更 复杂 的 YML 文 件 的 判断 做 准备 。 


12.5 ”模块 退出 状态 处 理 


为 了 让 模块 返回 我 们 所 要 的 结果 ， 来 展示 正确 或 错误 ，Ansible 模 块 的 编写 很 有 必要 定义 模块 的 退出 。 退 出 无 非 两 种 情况 : 正常 退出 ; 错误 退出 。 在 12.3 节 中 ， 我 们 使 用 了 正常 退出 的 函数 api: 
module.exit json， 对 应 的 还 有 一 个 错误 退出 的 api: module.fail_json。 但 要 注意 的 是 ， 它 所 需要 的 传递 不 再 是 任意 参数 了 ， 而 是 msg， 所 以 它 的 写法 应 该 是 : 


module.fail json (msg=”errors happened") 


这 样 的 话 ， 我 们 就 可 以 配合 条 件 判断 ， 来 组 织 我 们 自己 的 模块 退出 的 形式 了 。 这 里 我 们 假定 有 一 个 rc 的 变量 为 0 是 正常 退出 ， 反 之 则 错误 ， 文 件 名 为 10 5_ echopong_with_vars_return_quit.py。 


# http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15935/0EBPS/Text/... http://www.hzcourse.com/resource/readBook?path=/openresources/teac 
if rc = 0: 

result = dict (echo=args, changed=True) 

module.exit json(**result) 
else:; 

module.fail json (msg="errors happened") 


module.exit json 和 module.fail json 最 大 的 区 别 在 于 ， 在 执行 完 该 模块 后 ，module.fail json 将 导致 整个 Ansible-playbook 停 止 工作 ， 可 以 看 做 一 个 异常 殷 出 来 处 理 。 


cd your module path 
wget https:// raw.githubusercontent.com/stanleylst/ansibleUI/master/Chapter 12/12-5/echopong 


12.6 ”模块 其 他 功能 补充 


对 于 supports_check_mode 这 个 属性 的 使 用 ， 如 果 在 执行 时 使 用 --check，Ansible 才 会 去 检查 该 模块 是 否 可 用 ， 我 们 一 般 可 以 忽略 。 当 你 设 定 supports_check_mode=True 时 ， 就 意味 着 该 模块 已 经 
经 过 自己 的 严格 测试 了 ， 可 以 提交 给 别人 使 用 了 ， 而 且 你 必须 对 这 个 模块 负责 。 但 我 们 自己 写 的 模块 一 般 都 是 自己 用 ， 所 以 不 必 理 会 这 个 参数 。 


module = AnsibleModule( 


argument_spec = dict (http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15935/0EBPS/Text/...), 
supports_check mode=True 


如 果 我 们 没 加 上 supports check_mode=True 这 个 参数 ， 那 么 当 我 们 再 加 上 --check 时 ， 我 们 写 的 这 个 模块 将 自动 被 忽略 。 


wget https:// raw.githubusercontent.com/stanleylst/ansibleUI/master/Chapter 12/12-4/5/echopong.yml 
cd your module path 
wget https:// raw.githubusercontent.com/stanleylst/ansibleUI/master/Chapter 12/12-6/5/echopong 


执行 以 下 playbook: 


ansible-playbook echopong.yml --check 


其 结果 将 为 : 


http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15935/OEBPS/Text/... 
TASK: [echo POngPONG] * 交 六 交 交 克 交大 六 六 次 闪闪 光 交 亦 奖 光 交 次 六 交 类 次 六 六 次 交 大 光 交 炎 交 光 克 克 六 克 
Skipping: [test] 
ok: [test] 
TASK: [delbug Var=re@S] ** 炎 炎炎 六 炎炎 炎炎 炎 太 六 闪光 次 交 次 次 次 次 次 交 炎炎 六 六 太太 六 六 次 闪 次 次 交 次 交 次 交 交 交 六 太太 六 六 六 六 
ok: [test] => { 
var": { 
"res": 划 
"changed": false, 
"invocation": { 
"module args": "args=\"pongpong\"", 
"module complex args": {}, 
"module name": "echo" 


http://www.hzcourse.com/resource/readBook?path=/openresources/teach 


] 
"msg": "remote module does not support check mode", 
"skipped": true 


} 


http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15935/0EBPS/Text/... http://www.hzcourse.com/resource/readBook?path=/openresources/teach 


可 以 看 到 ， 该 模块 在 上 面 已 被 skipping 了 (skipping: [test]) 。 


现在 ,读者 们 可 以 去 阅读 /usr/share/ansible 目 录 下 的 一 些 模块 了 ， 只 要 认真 读 完 这 些 内 容 ， 大 多 数 模块 都 是 比较 简单 的 ， 而 且 大 多 数 都 是 使 用 
断 而 已 。 现 在 看 ， 其 实 Ansible 的 模块 并 不 是 那么 神奇 ， 我 们 完全 可 以 加 入 写 自己 的 模块 。 


接 shell 命 令 的 方式 完成 的 ， 只 不 过 加 上 了 一 些 逻 辑 判 


12.7 ”Ansible 模 块 API 的 调用 


由 于 Ansible 版 本 上 有 所 区 别 ， 如 果 读者 使 用 的 是 Ansible 的 1.9.x 之 前 的 版 本 ， 它 的 API 调 用 就 相对 比较 简单 ， 
playbook 那 样 ， 可 以 连接 一 次 后 ， 执 行 多 个 模块 。 那 么 我 们 就 把 前 几 节 编写 的 echopong 庶 入 我 们 的 API 中 去 。 


但 缺点 也 很 明显 ， 每 个 模块 都 要 重新 去 连接 一 次 远程 的 Agent 机 器 ， 就 不 像 写 Ansible- 


(1) Ansible1.9.x 的 API 调 用 方法 


import ansible.runner 

runner = ansible.runner.Runner( 
module name='echopong', 
module args="args="'oK"'™", 
pattern='localhost', 
forks=10 

) 

datastructure = runner.run() 

print datastructure 


在 上 面 我 们 写 的 脚本 中 ， 使 


到 了 ansible.runner 这 个 Ansible 的 AP1， 我 们 简单 地 执行 它 ， 就 可 以 得 到 我 们 所 要 的 结果 。 


{'dark': {}, 'contacted': {'test': {'invocation': {'module name': 'echo', 'module complex args': {}, 'module args': un"args='ok'"}，u'changed' : 


于 二 1 True, u'pass code': 1, u'result': 
wget https:// raw.githubusercontent.com/stanleylst/ansibleUI/master/Chapter 12/12-7/tag 1.9.x/old api.py 


(2) Ansible1.9.x 的 APl 中 Runner 可 以 更 改 的 参数 


因为 结果 输出 是 很 标准 的 字典 ， 接 下 来 我 们 就 可 以 取 所 需要 的 值 进行 输出 了 (例如 : print datastructure['contacted ]) ， 我 们 就 可 以 取 到 自己 最 想 要 的 结果 。 


看 下 这 个 Runner 函 数 可 以 传 入 哪些 参数 呢 ? 


host list=C.DEFAULT HOST LIST, 
module path=None, 
module name=C.DEFAULT MODULE NAME., 


# ex: 指 定 ansible 的 hosts 文 件 /etc/ansible/hosts 
# ex: 指定 模块 目录 /usr/share/ansible 
ex: 指定 模块 (copy) 


module args=C.DEFAULT MODULE ARGS, 
forks=C.DEFAULT FORKS, > 
timeout=C .DEFAULT TIMEOUT, 
pattern=C.DEFAULT PATTERN, 

remote user=C.DEFAULT REMOTE USER, 
remote pass=C.DEFAULT REMOTE PASS, 
remote port=None, 网 


ex: 指定 参数 ("src=/tmp/a dest=/tmp/b") 
指定 开启 多 少 线程 
设 定 超时 时 间 
首 定 hosts 中 的 机 器 或 机 器 组 
ex: 远程 用 户 名 
ex: 远程 密码 ， 没 有 则 不 设 定 
# 如 果 不 是 22 端 口 ， 请 指定 


井 井 井 井 间 间 间 


private key file=C.DEFAULT PRIVATE KEY FTIE，# 指定 信任 文件 


background=0， 

basedir=None, 

setup_cache=None, 

vars cache=None, 
DEFAULT_ TRANSPORT, 
True', 
callbacks=None, 
module vars=None, 


痢 定 每 xx 秒 同步 ，0 则 为 不 同步 
省 定 ansibleplaybook 目 录 
用 来 共享 fact 数据 或 其 他 任务 
# 用 来 储存 关于 host 的 变量 
选择 使 用 'ssh'，'paramiko'，, 
当 该 fact 表达 式 是 true 时 ， 才 运作 
# 用 于 输出 
Ansible-playbook 内 部 变量 


井 井 井 提 井 提 


play_vars=None, 

play file vars=None, 
role vars=None, 

role params=None, 
default vars=None, 

extra vars=None, 

is playbook=False, # 
inventory=None, 
subset=None, 
check=False, # 
diff=False, # 
environment=None, # 环境 变量 (如 字典 ) 在 命令 里 使 用 
complex_args=None, 结构 化 数据 ， 除 了 module _ args ， 必 须 是 一 个 字典 
error on undefined vars=C.DEFAULT _ UNDEFINED VAR BEHAVIOR, # ex. False 
accelerate=False, # 是 否 使 用 加 速 连接 


# 定义 传 入 Ansible-playbook 的 变量 
是 否 使 用 Ansible-playbook 
# 关于 Inventory 实 例 


若 为 True, 只 有 supports check_mode=True 的 模块 才 运 作 
是 否 显示 diff 模 板 文件 的 要 化 


# 


accelerate_ipv6=False，# 加 速 连 接 w/ IPV6 
accelerate Port=None， # 指定 加 速 连接 的 端口 
vault pass=None, 


run_hosts=None, # 预先 计算 主机 的 可 选 列表 上 运行 

no _log=False, # 该 选项 用 来 给 定 任务 启用 /禁用 日 志 记录 

become=False, # 是 否 可 越权 become method=C.DEFAULT BECOME METHOD, 
become_user=C.DEFAULT BECOME USER, # ex: 'root' 和 
become pass=C.DEFAULT BECOME PASS, # ex: 'password123' 或 None 
become exe=C .DEFAULT BECOME EXE, # ex: /usr/local/bin/sudo 


由 于 篇 幅 有 限 ， 大 家 可 以 自己 做 尝试 。 在 实际 使 用 中 我 们 一 般 会 选择 调用 playbook 的 方式 ， 在 之 后 的 内 容 ， 会 着 重 介 绍 我 们 最 常用 的 Playbook 的 方式 。 


(3) Ansible2.x 的 API 调 用 方法 


如 果 读 者 使 用 的 2.0 以 上 版 本 的 话 ， 可 能 会 比较 复杂 ， 但 是 2.0 版 本 的 API 的 好 处 也 是 显而易见 的 。 对 于 模块 非 playbook 的 调用 ，2.x 版 本 可 以 把 多 个 模块 放 在 一 起 执行 ， 减 少 连接 主机 所 消耗 的 时 间 。 


值得 读者 注意 的 是 ， 由 于 Ansible2.x 的 程序 目录 和 模块 的 整理 和 修改 ， 导 致 原来 1.9.x 的 ApP| 无 法 使 用 ， 使 用 Ansible2.x 的 用 户 如 果 在 脚本 中 调用 ansible.runner 时 ， 就 将 报 该 模块 不 存在 。 原 因 在 于 这 个 
runner 类 已 被 删除 ， 功 能 被 拆 分 到 其 他 类 中 去 了 。 


Ansible2.x 版 本 我 们 有 两 种 用 法 ， 一 种 是 使 用 其 APl 来 调用 Ansible 的 模块 ， 另 一 种 是 使 用 其 API 调 用 Playbook， 后 者 比较 主要 ， 因 为 Playbook 才 是 我 们 大 规模 应 用 的 标准 文件 格式 。 在 这 里 笔者 不 打算 
把 模块 封装 起 来 ， 这 样 代码 更 直接 ， 也 方便 读者 们 更 好 地 学 习 和 更 改 ， 自 行 封装 属于 自己 的 Ansible 的 APl。 


那么 ， 我 们 就 先 来 介绍 如 何 使 用 2.0 的 APl 来 调用 Ansible 的 模块 。 在 编写 上 可 以 分 为 几 步 : 


1) 导入 Ansible2.0 中 必要 的 模块 。 


# !/usr/bin/env Python 

from collections import namedtuple 

from ansible.parsing.dataloader import DataLoader 

from ansible.vars import VariableManager 

from ansible.inventory import Inventory 

from ansible.playbook.play import Play 

from ansible.executor.task queue manager import TaskQueueManager 


2) 定义 要 使 用 的 命名 空间 ， 传 入 变量 等 。 


由 于 该 部 分 是 Ansible-Api 的 初始 化 ， 如 果 使 用 通用 的 参量 ， 以 下 代码 不 需要 做 多 大 变化 ， 读 者 可 以 略 过 。 


Options = namedtuple('Options', ['listtags', 'listtasks', 'listhosts', 'syntax', "connection'y 'module path', 'forks', "Private key file', 'ssh common args', 'ssh extra args', 
'sftp extra args', 'scp extra args', 'become', 'become method', 'become user', 'verbosity', 'check']) | 本 人 
variable manager = VariableManager () 加 

loader = DataLoader () 

options = Options (listtags=False, listtasks=False, listhosts=False, syntax=False, connection='ssh', module path=None, forks=100, , private key file=None, 

ssh_common args=None, ssh extra args=None, sftp extra args=None, scp extra args=None, become=False, become method=None, become user=None, verbosity=None, check=False) 
passwords = {} 

inventory = Inventory (loader=loader, variable manager=variable manager) 

variable manager.set inventory (inventory) 站 加 


3) 编写 执行 的 命令 。 


这 里 把 写 的 echo 模 块 使 用 到 其 中 。 


Play_source = dict( 
name = "Ansible Play", 
hosts = 'localhost', # 更 改 主机 
gather facts = "no'v 
tasks = [ # 更 改 使 用 的 命令 
dict (action=dict (module='shell', args='ls'), register='shell out'), 
dict (action=dict (module='echopong', args='pong')) 
] 
Play = Play() .load(play_ source, variable manager=variable manager, loader=loader) 


4) 把 上 面 的 命令 放 入 执行 队列 中 执行 。 


qm = None 
tevys 
tam = TaskQueueManager ( 
inventory=inventory, 
variable manager=variable manager, 
loader=l0ader, - 
options=options, 
passwords=passwords, 
stdout callback='default', 
) 
result = tqm.run (play) 
finally: 
if tqm is not None: 
tam.cleanup () 


取得 我 们 的 API 脚 本 。 


wget https:// raw.githubusercontent.com/stanleylst/ansibleUI/master/Chapter 12/12-7/tag 2.1.0.0/new api module.py 


关于 大 家 比较 关注 的 收集 系统 信息 内 容 ， 按 照 上 述 的 用 法 ， 我 们 也 可 以 引出 使 用 setup 来 收集 机 器 信息 的 方法 ， 通 过 下 述 脚本 来 收集 。 


请 在 上 面 new_api_module.py 的 步骤 1) 中 添加 返回 日 志 信息 的 类 。 


import json 
class ResultCallback (CallbackBase): 
def v2 runner on ok(self, result, **kwargs): 
host = result. host 
self.data = json.dumps ({host .name: result. result}, indent=4) 
results callback = ResultCallback () 


并 修改 步骤 3) play_source 部 分 为 : 


Play_source = dict( 
name = "Ansible Play", 
hosts = 'localhost', 
gather facts = 'no', 
tasks = [ 


dict (action=dict (module='setup')) 


并 修改 步骤 4) tqm 部 分 为 : 


taqm = TaskQueueManager ( 
inventory=inventory, 
variable manager=variable manager, 
loader=lo0ader, 
options=options, 
passwords=passwords, 
stdout callback=results_ callback, 
) 
result = tqm.run (play) 
print results callback.data 


results_callback.data 的 结果 就 是 机 器 的 所 有 信息 的 JSON 格 式 ， 读 者 可 以 把 步骤 3) 中 的 hosts='localhost' 中 的 'localhost' 收 改 为 变量 ， 即 可 满足 需求 。 


取得 我 们 的 API 脚 本 : 


wget https:// raw.githubusercontent.com/stanleylst/ansibleUI/master/Chapter 12/12-7/tag 2.1.0.0/setup gather.py 


上 面 的 程序 是 官方 提供 的 非 调 用 Playbook 的 方式 来 调用 AP1， 我 们 一 般 使 用 会 比较 少 。 接 下 来 ， 我 们 介绍 如 何 使 用 2.0 的 APl 来 调用 Ansible 的 Playbook。 在 编写 上 可 以 分 为 几 步 。 


以 下 我 们 使 用 到 的 test.yml 请 读者 自行 编写 一 个 简单 的 YML 文 件 即 可 ， 或 使 用 笔者 提供 的 以 下 文件 : 


wget https:// github.com/stanleylst/ansibleUI/blob/master/Chapter 12/12-7/tag 1.9.x/test.yml 


1) 导入 Ansible2.0 中 必要 的 模块 ， 最 主要 的 就 是 PlaybookExecutor 这 个 模块 ， 用 于 调用 Playbook 的 APl。 


# !/usr/bin/env Python 

import os 

import sys 

from collections import namedtuple 

from ansible.parsing.dataloader import DataLoader 

from ansible.vars import VariableManager 

from ansible.inventory import Inventory 

from ansible.executor.playbook executor import PlaybookExecutor 
from ansible.utils.display import log file 

import sys 


2) 定义 要 使 用 的 命名 空间 ， 传 入 变量 等 。 


和 之 前 介绍 编写 模块 API 时 候 一 样 ， 需 要 定义 一 些 初始 的 参量 到 options 中 去 ， 将 下 面 Options 中 的 全 部 定义 上 ， 这 样 可 以 避免 由 于 版 本 的 不 同 而 导致 对 漏 定义 的 报错 。 


Variable manager = VariableManager () 

loader = DataLoader () 

inventory = Inventory (loader=loader, variable manager=variable manager, host list='/etc/ansible/hosts') 

Options = namedtuple('Options', ['listtags', 'listtasks', 'listhosts', 'syntax', 'connection', 'module path', 'forks', "Private key file', 'ssh common args', 'ssh extra args', 
options = Options (listtags=False, listtasks=False, listhosts=False, syntax=False, connection='ssh', module path=None, forks=100, private key file=None, ssh common args=None, ss 


1 


3) 为 API 注 入 Playbook 的 路 径 和 参数 。 


Playbook path = "test.yml'" 

Variable manager.extra vars = {"aa": 

if not os.path.exists (playbook path): 
print '[INFO] The Playbook does not exist' 
sys.exit () 


xx", "bob": [{"xx": "1"}]} 


4) 执行 并 打印 结果 。 


asswords = {} 

be = PlaybookExecutor (playbooks=[playbook path], inventory=inventory, variable manager=variable manager, loader=loader, options=options, passwords=passwords) 
code = pbex.run() 

stats = pbex. tqm._ stats 

hosts = sorted (stats.processed. keys ()) 

result = [{h: stats.summarize(h)} for h in hosts] 

results = {'code': code, 'result': result, 'playbook': playbook path} 

print (results) 


取得 我 们 的 API 脚 本 。 


wget https:// raw.githubusercontent.com/stanleylst/ansibleUI/master/Chapter 12/12-7/tag 2.1.0.0/new api playbook.py 


上 面 的 模块 虽然 能 够 返回 结果 ， 但 却 不 能 返回 我 们 的 Ansible 的 执行 日 志 ， 这 样 ， 必 将 使 得 当 Ansible 调 用 出 现 问题 后 ， 我 们 很 难 快速 定位 YML 文 件 的 BUG 所 在 。 这 样 的 调用 API 写 的 脚本 或 程序 得 到 不 
完整 的 结果 反馈 ， 也 必 将 得 不 到 最 终 用 户 认可 。 


在 这 里 我 们 就 需要 修改 源码 了 ， 所 需 修 改 的 地 方 不 多 ， 首 先 我 们 需要 找到 我 们 使 用 的 Ansible 模 块 的 目录 ， 还 是 分 1.9.x 和 2.x 来 介绍 两 种 情况 ; 另外 还 会 分 为 仅 取得 日 志文 件 内 容 和 实时 写 入 文件 进行 保 
存 和 记录 两 种 情况 。 


1.9.x 的 取得 日 志文 件 内 容 的 源码 修改 的 实现 如 下 : 找到 你 所 使 用 的 Ansible 模 块 ， 如 果 使 用 虚拟 环境 ， 请 到 你 的 虚拟 环境 中 找到 Ansible 进 行 修改 。 比 如 笔者 使 用 的 是 虚拟 环境 ， 虚 拟 环境 目录 
在 /data/env/ 下 ， 那 么 笔者 所 改 的 文件 应 该 是 /data/env/lib/python2.7/site-packages/ansible/callbacks.py。 


callback_plugin.task = task ” # 搜索 这 一 行 ， 空 开 一 行 ， 在 其 后 面 加 入 log_add = [] 
log add = [] 
def display (msg, color=None ，…… 


另 一 处 需要 修改 的 地 方 如 下 : 


1og_unflock (runner) # 搜索 这 一 行 ， 在 其 后 面 添加 以 下 内 容 
Cas 
lo0g_add.append (msg2) 
except: 
ass 
def call callback module (method name, *args, **kwargs): 


完成 了 以 上 两 步 修改 后 ， 就 可 以 开始 使 用 我 们 的 APl 来 生成 日 志 了 。 笔 者 已 经 封装 好 了 Playbook 的 AP1， 读 者 直接 使 用 Ansi_Play 这 个 模块 就 可 以 了 。 


excute = Rnsi Play('test.yml',{'test': '/tmp/test.book'}) 
# Ansi_Play ('YML 文 件 名 ' ,为 Ansible 的 YML 的 {{}} 传 递 字典 参数 ) 
result = excute.run() # result 为 详细 的 信息 


Ansi_Play 模 块 展示 如 下 : 


# !/usr/bin/env Python 
# -*= coding: utf-8 ~*— 
import ansible.runner 
import ansible.playbook 
import ansible.inventory 
from ansible import callbacks 
from ansible import utils 
import re 
class Ansi Play (object): 
def init (self, playbook, extra vars={}): # 初始 化 参数 
self.stats = callbacks.AggregateStats () 
self.playbook cb = callbacks.PlaybookCallbacks (Verbose=util1s.VERBOSITY) 
self.extra vars = extra vars 
self.playbook = playbook 
Sself.setbook = self.book set() 
def book set (self): # 使 用 playbook 模 块 
runner cb = callbacks.PlaybookRunnerCallbacks (self.stats, verbose=utils.VERBOSITY) 
self.pb = ansible.playbook.PlayBook( 
playbook = self.playbook, 
stats = self.stats, 
extra vars = self.extra vars, 
callbacks = self.playbook cb, 
runner callbacks = runner cb 
def ansi escape (self, text): # 移 除 Linux 字 体 颜 色 
ansi escape = re.compile(r'\xlb[^m]*m') 
return ansi escape.sub('', text) 
def run (self) : 
simple = self.pb.run() 
detail = self.ansi escape('\n'.join(callbacks.10g add)) 
# 添加 日 志 内 容 到 detail 
return {'simple': simple, 'detail': detail} 
if name = 一 min ": 
excute = Ansi Play('test.yml',{'test': '/tmp/test.book'}) 
result = excute.run() 
print result 


运行 后 打出 来 的 实时 日 志 程 序 是 取 不 到 的 ， 只 有 最 后 result 这 个 参数 print 出 来 的 Ansible 日 志 内 容 ， 我 们 的 程序 才能 取 到 ( 即 result) 。 


取得 我 们 的 API 脚 本 。 


wget https:// raw.githubusercontent.com/stanleylst/ansibleUI/master/Chapter 12/12-7/tag 1.9.x/Ansi play.py 


通过 执行 python Ansi_play.py， 我 们 所 得 出 的 结果 如 下 : 


1'sinmple's {rlocalhost's {'unreachable's UU skipped's 0; ‘ok's 2, "changed's 0 'failures's D1}; detail's VELAY [test] wt 坟 直 光 尖 让 光 站 坟 站 实 直 江波 直 光 奖 交 直 训 雪 直 宙 训 交 突 直 训 实 丰 夫 加 交 交 直 兴 实 丰 宙 


Os 


result 结 果 {'simple': 简要 结果 ，': detaiAnsible': 执行 日 志 }。 


对 1.9.x 的 实时 写 入 文件 进行 保存 和 记录 的 源码 进行 修改 的 原因 是 : 我 们 在 写 程序 的 时 候 总 是 希望 能 够 保存 日 志 到 文件 中 ， 但 同时 我 们 还 需要 解决 一 个 问题 ， 单 单 使 用 上 面 的 方法 ， 就 只 能 等 到 YML 执 行 
完 后 才 返 回 该 YML 的 执行 日 志 ， 这 对 于 要 执行 很 长 时 间 的 YML 文 件 来 说， 就 将 产生 一 个 不 知道 中 间 运 行 结果 的 真空 期 。 如 果 该 日 志文 件 能 够 保证 被 实时 写 入 ， 那 就 能 够 将 把 我 们 上 面 取 到 的 日 志文 件 内 容 不 
断 地 反馈 给 用 户 。 接 下 来 我 们 就 来 解决 这 个 问题 。 


笔者 的 Ansible 的 callbacks 模 块 的 修改 ， 读 者 自行 修改 自己 使 用 的 Ansible 目 录 下 的 callbacks 模 块 /data/env/lib/python2.7/site-packages/ansible/callbacks.py。 


callback plugin.task = task # 搜索 这 一 行 ， 空 开 一 行 ， 在 其 后 面 加 入 10g_add = [] 

import re 

log add = [] 
[ 


log file = [] 


另 一 处 需要 修改 的 地 方 如 下 : 


1og_unflock (runner) # 搜索 这 一 行 ， 在 其 后 面 添加 
try: 
1ou aua .append (msg2) 
except: 

pass 
if log file: 

if msg2.find('before assignment') 一 -1: # 排除 变量 未 提交 警告 

with open(log file[0], 'a+') as f: 
ansi_ escape = re.compile(r'\xlb[^m]*m') # 去 除 Linux 颜 色 标 识 


f.write (ansi_escape.sub(''，msg2) ) 


对 于 调用 方法 可 以 查看 Ansi_play log.py。 


def run (selLf，1og file=''): # 增加 实时 文件 记录 
if log file: 
callbacks.1og file.append (log file) 
simple = self.pb.run() 
detail = self.ansi escape('\n'.join(callbacks.10g add)) 
# 添加 日 志 内 容 到 detall 
return {'simple': simple, 'detail': detail} 
证 name = ™ main ": 
excute = Ansi Play('test.yml',{'args': 'pong'}) 
result = excute.run('/tmp/test.1o0g') 
print result 


取得 我 们 的 API 脚 本 : 


wget https:// raw.githubusercontent.com/stanleylst/ansibleUI/master/Chapter 12/12-7/tag 1.9.x/Ansi Play log.py 


通过 执行 python Ansi_play_log.py， 我 们 除了 得 到 上 面相 同 的 信息 外 ， 还 会 记录 日 志 到 /tmp/test.log 中 去 ， 而 且 是 实时 日 志 。 笔 者 这 里 的 例子 执行 时 间 比 较 短 ,读者 可 以 写 一 个 执行 时 间 较 长 的 


YML， 执 行 后 使 


tail-f/tmp/test.log 来 查看 结果 。 


对 于 2.x 的 仅 取 得 日 志文 件 内 容 的 源码 的 修改 如 下 : 基本 思想 和 1.9.x 的 修改 思路 是 一 样 的， 请 读者 自行 修改 自己 使 用 的 Ansible 目 录 下 的 callbacks 模 块 /data/env/lib/python2.7/site- 
packages/ansible/utils/display.py。 


import re 
log add = [ 
log file = 


class Display: 


] 
[0] 
# 找到 该 行 ， 在 上 面 添加 3 行 ， 注 意 空 行 


另外 还 需要 在 该 文件 中 添加 以 下 内 容 。 


logger.info (msg2) 
if msg2.find('"before assignment') 
ansi_escape = 


# 找到 记 


行 ， 在 下 面 添 加 代码 
re.compile(r'\xlb[^m]*m') 


msg3 = ansi escape.sub('', msg2) 


else: 


msg3 = 


try: 


except: 


1 


lo0g_add.append (msg3) 


Pass 
if log file: 
with open(log file[0], 'at+') as f: 


def vl(self, 


£f.write (msg3) 


msg, host=None): # 找到 此 行 ， 在 上 面 添加 代码 ， 请 添加 在 display 里 面 


return self.verbose (msg, host=host, caplevel=0) 


现在 我 们 来 调 


Ansible2.x 的 模块 。 这 里 请 读者 注意 ， 由 于 Ansible2.x 更 新 API 的 速度 比较 快 ， 如 果 读 者 使 


的 版 本 比较 高 ， 请 以 本 书 GitHub 上 第 12 章 的 更 新 的 API 为 准 。 笔 者 使 


的 Ansible 版 本 为 


2.1.0.0， 由 于 笔者 已 经 对 其 封装 过 了 Ansi_play2.py， 内 容 比 较 多 ， 我 们 还 是 会 分 批 进 行 介绍 。 如 果 读者 觉得 以 下 内 容 比 较 难 懂 ， 可 以 直接 调用 即 可 ， 无 须 看 懂 。 调 用 方式 请 参看 GitHub， 或 者 查看 该 部 分 
最 后 的 if_name_=='_main_'; 后 的 内 容 。 


步骤 1: 导入 Ansible 所 需 的 API 和 Python 的 一 些 基础 模块 。 


# !/usr/bin/env python 


import os 
import sys 
import re 


import json 


from collections import namedtuple 

from ansible.parsing.dataloader import DataLoader 

from ansible.vars import VariableManager 

from ansible.inventory import Inventory 

from ansible.executor.playbook executor import PlaybookExecutor 

from ansible.utils.display import log file, lo0og add 

from ansible.plugins.callback import CallbackBase 

from ansible.errors import AnsibleParserError 

步骤 2: 使 用 Ansible 的 callbacks 插 件 ， 按 机 器 的 执行 情况 (成 功 、 失 败 或 者 未 连接 ) 分 类 返回 如 下 日 志 。 


class ResultCallback (CallbackBase): 
''' if needed, you can modify it yourself''' 
def _ init (self, *args): 
super (ResultCallback, self). init  (*args) 
self.ok = json.dumps ({}) 
self.fail = json.dumps ({}) 


self.unreachable = json.dumps ({}) 
self.playbook = "'" 
self.no hosts = False 


def 


V2_runner on ok(self，result) : # 执行 成 功 的 playbook 日 志 
host = 


result. host.get_name () 


self.runner on ok (host, “result ._result) 


data = 


json.dumps ({host: result. result}, indent=4) 


self.ok = data 


gef 


V2 runner on failed(self, result, ignore errors=False): 


# 执行 失败 的 playbook 日 志 


host = 


result. host.get name() 


self.runner on failed(host, result. result, ignore errors) 


data = 


json.dumps ({host: result. result}, indent=4) 


self.fail = data 


def 


V2 runner on unreachable (self, result): 


# 未 能 连接 上 主机 的 Playbook 日 志 
host = result. host.get_name () 
self.runner on unreachable (host, result. result) 


data = 
self.unreachable = 
V2 playbook on play start (self, play): 


gef 


json.dumps ({host: result. result}, indent=4) 
data 


# 记录 现在 执行 的 是 哪 一 个 playbook 的 yml 
self.playbook on play_start (play.name) 
self.playbook = play.name 


def 


V2 playbook on no hosts matched (self): 


# 该 次 执行 未 龙 匹 配 到 任何 主 和 ， 不 进行 任何 操作 
self.playbook on no hosts matched() 


self.no hosts = 


True 


步骤 3: 初始 化 Ansible 的 AP| 默 认 参 数 。 


class Ansi Play2 (object): 
# 在 这 里 笔者 只 初始 化 了 最 主要 、 最 常用 的 ， 对 读者 未 说 这 已 经 够 用 ， 而 且 其 中 有 些 是 playibook 必 须 
传递 的 参数 (如 become 等 ) 
def _init (self, playbook, extra vars={}, 


host_list='/etc/ansible/hosts'，# 设 定 hosts 文 件 
connection='ssh', # 选择 使 用 哪 种 连接 方式 ，ssh 或 Paramiko 
become=False, # 改变 主机 用 户 ， 一 般 sudo 切 换 到 root 用 
become user=None, 
module path=None, 
fork=50, 

ansible cfg=None, 
passwords={}, 
Check=False) : 


# 一 次 最 多 50 个 连接 


self.playbook = Playbook 
Self.extra vars = extra vars 


self.passwords = passwords 

Options = namedtuple('Options', 
['listtags', 'listtasks', 'listhosts', 'syntax', 'connection',' 
module path', 
'forks', 'private key file', 'ssh common args', 'ssh extra args', 


self.options = 


'sftp extra args', 

'scp_extra args', 'become', 'become method', 'become user', 

'verbosity', 'check']) 

Options (listtags=False, listtasks=False, 
listhosts=False, syntax=False, 
connection=connection, module path=module path, 
forks=fork, private key file=None, 
ssh common args=None, ssh extra args=None, 
sftp extra args=None, scp extra args=None, 
become=become, become method=None, 
become user=become user, 


verbosity=None, check=check) 
if ansible cfg != None: 
os.environ["ANSIBLE CONFIG"] = ansible cfg 
self.variable manager = VariableManager () 
self.loader = DataLoader () 
self.inventory = Inventory (loader=self.loader, variable manager=self.variable_ 
manager, host list=host list) 


步骤 4: 不 使 用 Ansible 揪 件 ， 返 回 日 志 简 单 结果 ， 并 记录 日 志 到 文件 的 run 方 法 。 


# 注 : 仍然 在 class Ansi Play2 中 
def run(self，1og) : 
if log: # 设 定 使 用 哪个 文件 来 记录 日 志 
log file.append (1og) 
if not os.path.exists (Self.Playbook) : 
code = 1000 # Playbook 的 yml 文 件 不 存在 则 返回 code 1000 
results = 'not exists Playbook: ' + self.playbook 
return code, results, None 
Pbex = PlaybookExecutor (playbooks=[self.playbook], 
inventory=self.inventory, 
variable manager=self.variable manager, 
loader=self .loader, 
options=self .options, 
passwords=self .passwords) 
ts 
code = pbex.run() 
except AnsibleParserError: 
code = 1001 # playbook 的 yml 文 件 语 法 错误 则 返回 1001 
result = 'syntax problems in ' + self.playbook 
return code, results, None 
stats = pbex. tqm. stats 
hosts = sorted (stats.processed.keys ()) 


results = [{h: stats.summarize(h)} for h in hosts] 

if not results: 
code = 1002 # 没有 匹配 到 任何 主机 名 则 返回 1002 
result = 'no host executed in ' + self.playbook 
return code, results, None 

complex = '\n' .join (log add) # 取得 完 


return code, results, complex 


步骤 5: 使 用 插件 ， 可 以 返回 分 类 日 志 ， 不 记录 日 志文 件 的 run_need_data 方 法 。 


def run need data (self): # 与 上 面 大 致 相同 ， 但 加 了 插件 功能 
if not os.path.exists (self.Playbook) : 
code = 1000 
complex = {'playbook': self.playbook, 
'msg': self.playbook + ' Playbook does not exist', 'flag': False} 
simple = 'playbook does not exist about ' + self.playbook 
return code, simple, complex 
Pbex = PlaybookExecutor (playbooks=[self.playbook], 
inventory=self.inventory, 
variable manager=self.variable manager, 
loader=self.loader, 
options=self .options, 
passwords=self .passwords) 


results callback = ResultCallback () # 使 用 ResultCallback 插 件 
pbex. tqm. stdout_callback = results callback 
try: 


code = pbex.run() 
except AnsibleParserError: 
code = 1001 
complex = {'playbook': self.playbook, 
'msg': 'syntax problems in ' + self.playbook, 'flag': False} 
simple = 'syntax problems in ' + self.playbook 
return code, simple, complex 
if results callback.no hosts: 


code = 1002 
complex = "no hosts matched in ' + self.playbook 
simple = {'executed': False, 'flag': False, 'playbook': self.playbook, 
"msg': 'no_ hosts'} 
return code, simple, complex 
else: 


ok = json.loads (results callback.ok) 

fail = json.loads (results callback.fail) 

unreachable json.loads (results callback. unreachable) 

if code != 
complex {'playbook': results callback.playbook, "ok': ok, 
'fail': fail, 'unreachable': unreachable, 'flag': False} 


simple = {'executed': True, 'flag': False, 'playbook': self.playbook, 
'msg': {'playbook': self.playbook, 'ok hosts': ok.keys(),'fail': 
fail.keys(), 'unreachable': unreachable.keys()}} 
return code, simple, complex 
else: 


complex = {'playbook': results callback.playbook, 'ok': ok 

'fail': fail, 'unreachable': unreachable, 'flag': True} 

Simple = {'executed': True, ‘flag': True, 'playbook': self.playbook, 
'msg': {"Playbook': self.playbook, "ok hosts': ok.keys ()， 
'fail': fail.keys(), 'unreachable': unreachable.keys()}} 

return code, simple, complex 


步骤 6: 调用 上 述 run 和 run_need_data 两 个 方法 ,我 们 所 有 方法 的 返回 值 都 是 3 个 : code、simple、complex (返回 状态 码 、 简 单 返回 结果 、 所 有 日 志 信 息 ) 。 通 过 执行 下 面 的 程序 可 以 得 到 所 有 返回 
值 和 信息 : 


if _name 一 !_ main ': 
book2 = Ansi Play2('test.yml') 
# 用 户 可 以 选择 下 面 任意 一 种 方法 
# 如 果 你 要 取得 数据 ， 并 把 这 些 数 据 与 自己 的 程序 做 结合 分 析 ， 请 选择 下 面 这 种 插件 方式 
Code, simple, complex = book2.run need data() 
Print code, simple, complex 
# 返回 值 code，simple, complexzh 


# code 0 

# simple: {'msg': {'fail': [], 'unreachable': [], 'ok hosts': [u'localhost'], 
'Pplaybook': 'test.yml'}, 'flag': True， "executed' : True， 'playbook': 
'test.yml'} 

# complex: {'code': 0, 'ok': {u'localhost': {u'invocation': {u'module name': u'debug', 
u'module args': {u'var': u'res'}}, u'res': {u'changed': True, u'end': u'2016-07- 


16 00:29:;42.936217', u'stdout': u'123', u'cmd': u'bash -c "echo 123; sleep 
10"", u're's 0 u'start': u'2016-07-16 00:29:32.932963', u'setderr': yu’'', U'delta': 
u'0:00:10.003254', u'stdout lines': [u'123'], u'warnings': []}, u'changed': False, 
u' ansible verbose always': True, u' ansible no log': False}}, 'flag': True, 
'playbook': u'test', 'fail': {}, 'unreachable': {}} 

# 如 果 你 只 需要 知道 脚本 是 否 正确 执行 ， 并 需要 执行 并 收集 实时 日 志 到 我 们 定义 的 /tmp/aa.1l0g 文 件 中 ， 
下 面 这 种 更 合适 你 

code, simple, complex = book2.run('/tmp/aa.1og') 

print code, simple, complex 

# 返回 值 code,，simple, complexzh 

# code 0 

# simple: [{u'localhost': {'unreachable': 0, 'skipped': 0, 'ok': 2, 'changed': 
1, 'failures': 0}}] 

# complex 即 log_file: '/tmp/aa.log' 中 内 容 


取得 我 们 的 API 脚 本 : 


wget https:// raw.githubusercontent.com/stanleylst/ansibleUI/master/Chapter 12/12-7/tag 2.1.0.0/Ansi play2.py 


， 我 们 已 经 可 以 写 一 些 相 对 复杂 的 应 有 


了 ， 这 与 传统 Shell 命 令 相 比 ， 我 们 可 以 不 去 考虑 它 的 多 线程 的 编写 了 。 与 单纯 调用 Ansible 的 基础 模块 不 同 ， 我 们 可 


以 使 


12.8 本章 小 结 


通过 把 Ansible 的 模块 和 API 的 互相 配合 使 F 
它 的 返回 值 了 ， 这 对 于 后 续 大 规模 程序 编写 比较 重要 。 


通过 本 章节 的 学 习 ， 


Ansible 用 户 来 说 ， 缺 一 不 可 。 


对 于 模块 编写 ，Ansible 提 供 了 很 好 
模块 进行 模仿 ， 可 以 编写 更 适合 


对 于 Ansible 的 API 调 F 
触 Ansible 的 用 户 查 阅 资料 


该 章节 的 内 容 为 大 规模 构建 集成 程序 做 了 很 有 


我 们 学 会 了 如 何 


自己 应 


的 模块 ， 这 不 仅仅 可 [人 力 


， 我 们 介绍 了 1.9.x 和 2.1.x 两 个 版 本 的 用 法 ， 还 指 ! 


强 自己 


后 都 可 自行 编写 ， 我 们 只 要 提供 一 个 接 


口 去 调用 Pla 


的 模块 编写 方法 ， 除 了 一 些 文件 传输 和 同步 的 模块 以 外 ， 大 多 数 模块 都 是 按照 1~ 6 节 中 的 
自身 的 脚本 编写 能 力 ， 也 可 以 为 团队 乃至 Ansible 官 方 提供 自己 的 模块 ， 为 社 


编写 Ansible 模 块 ， 并 把 它 应 用 在 命令 行 及 playbook 中 。 之 后 我 们 又 学 习 了 Ansible 的 API 的 调用 ， 为 后 续 的 程序 应 用 打下 了 基础 。 这 两 者 对 于 想 要 提升 自己 能 力 的 


内 容 进行 编写 的 。 因 


比 ， 通 过 学 习 本 章 内 容 ， 或 者 通过 参照 Ansible 已 有 的 
区 贡献 自己 的 一 份 力量 。 


时 了 这 两 者 之 间 的 差异 和 用 法 上 的 
ybook 即 可 ， 这 样 就 可 以 完成 工作 上 的 分 工 ， 加 快 各 


区 别 。 对 于 API 调 因 


上 ， 推 荐 使 用 API 调 
的 工作 进度 。 


Playbook， 原 因 在 于 Playbook 学 习 成 本 低 ， 任 何 接 


的 基础 工作 ， 为 完成 我 们 


第 13 章 ”开发 自己 的 Ansible WebUI 


我 们 在 之 前 学 习 到 了 如 何 使 
段 时 间 的 方向 。 所 以 本 章 我 们 将 3 
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搭建 Django 开 发 环境 


Web 应 上 


加 | 


由 


为 什么 要 使 用 Web 页 面 做 管理 


页 面 ， 做 成 可 视 化 的 应 


对 于 可 视 化 ， 我 们 有 以 下 几 种 选择 。 


1) 选择 使 
制 流 来 进一步 减少 人 为 


故 的 运 维 团 


Ansible， 但 也 只 是 
要 介绍 将 Ansible 与 Web 界 


Jenkins 来 完成 。Jenkins 已 经 为 我 们 提供 了 页 面 ， 只 要 把 调 
体 来 说 ，Jenkins 是 不 够 的 。 所 以 我 们 不 会 对 Jenkins 的 使 用 做 介绍 ， 网 上 


局 限于 使 用 命令 和 脚本 


相 结 合 的 使 有 


H 


开发 的 人 员 。 


后 续 的 


， 我 们 就 要 在 很 多 Web 框 架 中 选 型 ， 比 如 Web.py、Flask、Bottle、Dijango 等 ， 在 所 有 Web 框 架 中 ， 笔 者 还 是 比较 推荐 Django 的 ， 
件 便 可 完成 基本 上 所 有 Web 开 发 ， 比 较 适 合 刚刚 入 门 Web 应 


用 Ansible 命 令 的 Shell 脚 本 放 入 其 中 就 可 以 了 。 这 个 对 于 非 开 发 型 或 中 小 规模 的 企业 ， 已 经 绰绰有余 了 ， 但 对 于 需 


自动 化 运 维 的 编写 任务 铺 平 了 道路 。 


执行 Ansible 的 命令 ， 这 对 于 不 断 复杂 的 运 维 体系 来 说 是 远 远 不 够 的 。 现 在 使 用 Web 可 视 化 来 完成 操作 也 是 当今 乃至 未 来 很 长 一 
方法 。 


因为 它 是 一 款 开 箱 即 F 


的 软件 ， 无 需 太 多 的 插 


于 Ansible 的 使 用 需要 我 们 对 Linux 有 所 了 解 ， 另 外 ， 和 所 有 Shell 脚 本 一 样 ， 我 们 所 写 的 一 些 Playbook 的 YML 文 件 更 需要 一 个 熟悉 它 的 人 进行 操作 ， 这 就 间接 造成 我 们 一 些 操作 的 危险 性 和 同事 之 间 
沟通 而 导致 的 效率 问题 。 对 于 这 些 问题 都 会 在 无 形 中 增加 我 们 的 运 维 成 本 。 既 然 是 这 样 ， 应 该 怎么 去 解决 这 个 问题 呢 ? 对 于 这 个 问题 ， 我 们 有 很 多 方法 来 解决 ， 在 这 里 ， 笔 者 认为 需要 构建 我 们 
， 这 样 就 可 以 轻松 完成 我 们 日 常 的 一 些 简单 操作 了 。 


自己 的 Web 


构建 复杂 控 


的 资料 比较 多 ， 笔 者 就 不 详 述 了 。 


2) 可 以 购买 Ansible 的 Tower 产 品 ， 如 果 针对 想 要 构建 契合 自己 企业 应 用 的 应 用 平台 的 话 ， 就 可 以 选择 ， 编 写 自己 的 页 面 了 。 这 个 可 能 是 一 个 比较 漫长 的 过 程 ， 需 要 反复 修改 和 改版 ， 但 优势 也 很 明 
显 ， 完 全 是 符合 自己 企业 需求 开发 的 ， 可 用 性 会 比较 高 。 

3) 构建 适合 自己 企业 的 运 维 应 用 ， 那 么 需要 使 用 Ansible 来 构建 Web 应 用 。 对 于 为 什么 选用 BS 架构 (Browser-Server) ， 而 不 使 用 CS (Client-Server) 架构 ， 是 因为 我 们 可 以 直接 使 用 Browser 作 为 
客户 端 ， 不 必 强 迫 用 户 安装 我 们 自己 编写 的 Client 了 。 那 么 前 提 就 是 ， 我 们 应 该 学 习 一 个 Web 框 架 ， 在 这 里 我 们 选用 了 Django 作 为 我 们 后 面 提 供 Web 接 口 的 一 个 应 用 。 之 所 以 使 用 Django， 是 因为 它 已 经 
为 大 家 构建 好 了 完整 的 开发 环境 ， 不 需要 我 们 找 过 多 的 第 三 方 的 支持 库 ， 对 于 初学 者 来 说 可 以 迅速 上 手 。 接 下 来 ， 就 开始 准备 我 们 的 环境 吧 ! 
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1) 选 
还 是 以 大 家 


2) 安装 的 基础 软件 : MySQL、Git、Virtualenv、pip (这 里 我 们 就 不 | 


Os 系 统 和 Python 环境 。 在 这 号 
得 最 多 的 Python2.7.x 来 做 开发 环境 。 


系统 及 软件 环境 


我 们 挑选 Ubuntu14.04， 读 者 可 


以 挑选 自己 喜欢 的 OS 系统 ， 但 对 于 一 些 系统 软件 的 安装 ， 各 个 OS 系统 可 能 软件 名 称 不 一 样 ， 需 要 大 家 网 上 查找 下 。 另 外 ， 我 们 


源码 安装 了 ) 。 


sudo apt-get install mysql-server git python-virtualenv Python-pip ansible -y 


3) 安装 的 相关 开发 环境 依赖 包 。 


sudo apt-get install Python-dev libmysqlclient-dev -Y 


4) 创建 虚拟 环境 ， 


Virtualenv demo 


source demo/bin/activate 


并 安装 使 


Python 模 块 。 创 建 Python 


# 进入 虚拟 环境 


发 的 虚拟 环境 ， 可 以 有 效 地 隔离 对 系统 Python 依赖 的 影响 ， 换 句 话说 ， 就 算 我 们 把 虚拟 环境 的 Python 依赖 弄 坏 ， 机 器 也 不 会 受到 影响 。 


pip install ansible==1.9.4 Django==1.8 django-filter djangorestframework==3.2.3 MySQL-python# 在 进入 虚拟 环境 后 再 安装 这 些 Python 模 块 


如 果 以 上 有 遇 到 版 本 不 存在 的 问题 ， 并 更 改版 本 号 (比如 : ansible==1.9.2) ， 安 装 的 软件 大 致 有 以 下 这 些 就 可 以 了 。 


(demo) demouser@demouser-virtual-machine:~$ pip list 


ansible (1.9.4) 
argparse (1.2.1) 
Django (1.8) 


django-filter (0.13.0) 
djangorestframework (3.2.3) 
Jinja2 (2.8) 
MySQL-python (1.2.5) 
paramiko (2.0.0) 

pip (1.5.4) 

Pyasnl (0.1.9) 
pycrypto (2.6.1) 
PyYAML (3.11) 
setuptools (2.2) 
wsgiref (0.1.2) 


5) 使 用 Git 得 到 我 们 的 基础 Django 框 架 的 demo。 


git clone https:// github.com/targetoyes/book-demo.git demo-app 


13.2” Django 配置 文件 详解 


对 于 Django， 笔 者 不 准备 做 大 量 的 介绍 ， 只 介绍 我 们 用 到 的 一 些 应 用 。 如 果 觉 得 不 够 用 可 以 自行 查阅 Django 的 官方 网 站 进行 补缺 。 另 外 ， 如 果 不 想 被 后 端的 编写 规则 所 困扰 的 话 ， 推 荐 大 家 关注 一 个 


Django 的 第 三 方 库 ， 这 也 是 国外 用 得 比较 多 的 一 个 框架 : Restframework。 


13.2.1 ”Django 的 基础 配置 及 运行 


大 家 在 13.1.2 节 已 经 把 我 们 Git 上 的 demo 文 件 给 下 载 下 来 了 ， 接 下 来 将 围绕 这 个 demo 对 Django 的 这 个 配置 进行 介绍 。 


先 将 我 们 的 Django 框 架 运 行 起 来 。 


1) 正确 连接 数据 库 ， 并 导入 demo 的 数据 库 结构 。 


2) 修改 数据 库 连 接 的 配置 文件 demo-app/ansible_demo/root_demo/local settings.py。 


DATABASES = { 
"default': { 


'ENGINE': 'django.db.backends.mysql', # Add 'postgresql psycopg2', 'postgresql', 


‘mysql', 'sqlite3' or 'oracle'. 


'NAME': 'demo', # Or path to database file if using sqlite3. 


'USER': 'root', # Not used with sqlite3. 
'PASSWORD': 'root1234', # Not used with sqlite3. 


"HOST': '', # Set to empty string for localhost. Not used with sqlite3. 
'PORT': '3306', # Set to empty string for default. Not used with sqlite3. 


3) 在 MySQL 数 据 库 中 创建 一 个 数据 库 名 (在 这 里 我 们 使 用 的 是 demo， 请 和 上 面 数据 库 配置 的 NAME':'demo' 保 持 一 致 )。 


4) 确保 你 仍然 在 虚拟 环境 中 ， 并 使 用 Django 的 数据 结构 导入 功能 。 


cd demo-app/ansible demo/ 
./manage.py migrate 


5) 尝试 启动 Django 应 用 ， 如 果 没 有 报错 那 就 代表 启动 成 功 。 我 们 推荐 使 


screen -S demo 

source demo/bin/activate 

cd demo-app/ansible demo/ 
./manage.py runserver 0.0.0.0:8001 


， 相 当 了 


使 


后 台 执行 ， 但 我 们 可 以 实时 看 到 它 的 


Screen 来 启动 Django 的 应 有 


日 志 (如 无 screen 请 自行 安装 ) 。 


如 果 有 以 下 提示 ， 那 么 初始 工作 全 部 做 完了 。 


Performing system checkshttp://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15935/0EBPS/Text/... 


System check identified no issues (0 silenced). 

May 08, 2016 - 22:29:40 

Django version 1.8, using settings 'root demo.settings' 
Starting development server at http://0.0.0.0:8001/ 
Quit the server with CONTROL-C. 


13.2.2 ”Django 的 主 配置 目录 介绍 


我 们 在 13.2.1 节 已 经 把 Django 应 用 成 功 地 运行 起 来 了 。 接 下 来 ， 我 们 简单 地 介绍 Django 主 配置 目录 (demo-app/ansible_demo/root_demo) 的 一 些 目录 及 配置 文件 。 


我 们 把 Django 的 原来 的 配置 文件 拆 成 了 4 个 文件 及 路 由 配置 文件 。 


(1) dev_settings.py 文 件 


我 们 在 这 里 设置 了 2 个 重要 的 配 


“DEV_INSTALLED_APPS 配 置 要 注入 的 app (注入 了 demo_1) 。 


“REST FRAMEWORK 配置 序列 化 的 Diango 插 件 ， 它 将 提高 我 们 的 编程 速度 ， 让 我 们 专注 于 编写 逻辑 。 


(2) local_settings.py 文 件 

这 个 配置 文件 将 储存 我 们 所 有 的 前 端 路 径 和 国定 连接 方式 。 
“ STATIC_ROOT 定 义 静 态 文 件 路 径 。 
: TEMPLATE_ROOT 定 义 html 模 板 路 径 。 


: MEDIA_ROOT 定 义 下 载 路 径 。 


“ DATABASES 配 置 我 们 和 数据 库 的 连接 。 
" CACHES 与 Redis 或 mecache 的 连接 。 
.LOGGING 为 日 志 的 输出 方式 。 


(3) prod_settings.py 文 件 


正式 环境 切换 配置 (我 们 暂时 用 不 到 ) 。 


(4) settings.py 文 件 


定义 所 有 Django 的 所 有 插件 的 路 径 及 时 


网 


(5) urls.py 文 件 


定义 我 们 的 根 路 由 static、media， 以 及 我 们 将 自己 编写 的 app (demo_1) 。 


13.2.3 Django 的 app 目 录 介 绍 


接 下 来 ， 我 们 介绍 一 下 前 端 配置 的 目录 。 


(1) demo-app/ansible demoy/root demoystatic _ root 目录 


为 了 便于 管理 ， 我 们 将 它 分 成 3 个 目录 进行 归 类 : CSS 文 件 目录 、JavaScript 文 件 目录 、fonts 字 体 文件 目录 。 以 后 用 到 的 插件 都 可 以 往 下 面 放 。 


(2) demo-app/ansible demo/root_demo/templates 目 录 


我 们 主要 存放 html 的 文件 目录 ， 通 过 导入 上 面 各 个 页 面 所 要 的 静态 文件 ， 来 实现 动态 页 面 ， 另 外 我 们 只 使 用 Django 的 页 面 层 的 标签 (如 {%block%}，{%include%}) ， 其 他 的 逻辑 标签 (如 {%if%} 
等 ) ， 由 于 没有 JS 的 逻辑 效果 好 ， 一 律 不 使 用 。 


(3) demo-app/ansible demo/demo 1 目录 


这 是 一 个 子 app 目 录 ， 需 要 将 这 个 app 目 录 加 到 dev_settings.py 里 面 的 DEV_INSTALLED_APPS 中 才能 生效 。 


“ demo-app/ansible_demo/demo_1/urls.py 文 件 : 定义 app 使 用 的 ul 路 由 。 
“ demo-app/ansible_demo/demo_1/views.py 文 件 : 定义 app 的 视图 ， 起 到 连接 html 与 ul 关联 的 纽带 作用 。 
“ demo-app/ansible_demo/demo_1/api/models.py 文 件 : 定义 数据 库 的 表 结构 后 ， 使 用 makemigrations 和 migrate 来 快速 生成 数据 库 表 结构 (1.7 版 本 以 下 请 使 用 south 来 生成 表 结 构 ) 。 


:demo-abp/ansible_demoVdemo_1/api/setializetrs.by 文 件 : 把 数据 库 的 数据 序列 化 ， 便 于 我 们 获取 ， 在 安装 Restframewotk 这 个 框架 后 才 可 以 使 用 。 


“ demo-app/ansible_demo/demo_1/api/api_demo_1.py 文 件 : 后 端的 一 切 接口 还 辑 都 可 以 在 此 处 编写 。 
(4) demo-app/ansible file 目 录 


为 了 对 Ansible 的 Playbook 做 统一 管理 ， 我 们 把 所 有 Playbook 的 YML 文 件 放 在 该 目录 ， 与 Django 框 架 无 关 ， 只 是 为 我 们 自己 定义 一 个 统一 目录 。 


13.3 ”编写 Ansible 的 Web 接 口 


在 编写 页 面 之 前 ， 我 们 需要 学 会 编写 Web 接口 来 给 前 端 JavaSscript 使 用 ， 我 们 主要 编写 的 文件 的 目录 在 demo-appy/ansible demo/demo_1/api/api_demo_1.py， 这 个 我 们 在 13.2 节 的 末尾 已 经 介绍 过 
了 。 为 了 更 清晰 地 为 大 家 介绍 ， 笔 者 准备 把 它 细 化 成 8 个 问题 来 解决 。 


1) 如 何 调用 接口 在 服务 器 本 地 创建 一 个 文件 (touch 函数 ) ? 


2) 如 何 调用 接口 并 使 用 Ansible 命 令 在 远程 创建 一 个 文件 (touch_2 函 数 ) ? 


3) 如 何 检查 接口 命令 被 正确 调用 (touch_3 函 数 ) ? 


4) 如 何 记录 Ansible 命 令 的 实时 日 志 (touch_4 函 数 ) ? 


5) 如 何 避 免 调 用 Ansible 命 令 记录 实时 日 志 时 ， 导 致 检查 接口 命令 的 方法 失效 (touch_5 函 数 ) ? 


6) 如 何 给 接口 传 入 我 们 的 参数 (touch_6 函 数 ) ? 


7) 如 何 调用 我 


2 


门 的 Playbook 文 件 的 接口 (touch_ 7 函数 ) ? 


8) 在 给 Playbook 传 入 参数 时 ， 如 何 解 决 导致 检查 接口 命令 的 方法 失效 的 问题 (touch_8 函 数 ) ? 


好 ， 那 么 我 们 就 开始 一 步 一 步 解决 我 们 的 上 述 的 问题 吧 ! 


第 1 个 问题 比较 简单 。 我 们 来 假定 一 个 场景 : 


我 们 来 编写 Web 接 口 。 首 先 在 本 地 服务 器 上 的 tmp 目 录 下 创建 一 个 文件 abc， 这 时 候 我 们 使 用 Restframework 这 个 Django 的 扩展 框架 来 完成 自动 路 由 的 功能 (自动 创建 url 无 须 再 到 urls.py 里 进行 定 
义 )， 在 DemoViewSet 这 个 类 里 ,使 用 restframework 框 架 的 装饰 器 后 便 可 以 编写 我 们 的 接口 文件 。 


@list route (methods=['get', 'post']) 
def touch(self, request): 
os .System('touch /tmp/abc') 
return Response({'msg': '/tmp/abc has been touched'}) 


我 们 在 浏览 器 上 访问 ansible_demo/demo_1/api/api_demo_1.py 中 的 touch 方 法 ， 调 用 时 请 将 下 面 的 your_ip_address 更 改 成 读者 自己 的 服务 器 地 址 。 


http://your_ ip address:8001/demo 1/demo api/touch/ 


然后 ， 我 们 再 去 查看 tmp 目 录 下 是 否 有 abc 这 个 文件 。 这 样 ， 我 们 就 简单 地 写 出 了 一 个 http 方 式 的 可 供 调 用 的 API 了 。 


那么 第 2 问题 ， 根 据 这 个 思路 ， 就 可 以 把 我 们 的 ansible 命 令 放 入 其 中 了 。 


@list route (methods=['get', "Post']) 

def touch 2(self, request): 
os.system('ansible localhost -a "touch /tmp/bcf"') 
return Response({'msg': '/tmp/bcf has been touched'}) 


同样 ， 我 们 在 游览 器 上 访问 ansible_demo/demo_1/api/api_demo_1.py 中 的 touch_2 方 法 。 


http://your ip address:8001/demo 1/demo api/touch 2/ 


在 浏览 器 上 输入 后 ， 我 们 在 服务 器 上 查看 tmp 目 录 下 是 否 有 bcf 这 个 文件 。 如 果 存 在 ， 则 证 明 上 面 的 API 是 正确 的 。 
这 样 ， 我 们 就 掌握 了 最 简单 的 Django 与 Ansible 结 合 的 使 用 方法 了 。 


但 有 一 个 问题 ， 我 们 没 法 知道 命令 是 否 被 正确 执行 ， 我 们 该 如 何 判断 呢 ? 


这 就 是 我 们 的 第 3 个 问题 。 所 幸 Python 有 一 个 模块 给 我 们 提供 了 便利 ， 那 就 是 commands 模 块 []， 可 以 使 用 这 个 模块 来 判断 Ansible 命 令 或 者 Playbook 是 否 被 执行 ， 而 且 有 没有 发 生 错 误 。 来 验证 一 
我 们 在 一 个 不 存在 的 目录 下 面 创建 一 个 文件 ， 它 应 该 会 出 现 错误 。 
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@list route (methods=['get', "Post']) 
def touch 3(self, request): 


bits = 'ansible localhost -a "touch /tmpl/eee"' 


(status, output) = commands.getstatusoutput (bits) 
if status != 0: 

return Response ({ "msg': '/tmpl/eee has not been touched'，'output': output}) 
return Response({'msg': '/tmp/eee has been touched', 'output': output}) 


那 我 们 再 来 试验 一 下 ， 还 是 来 访问 我 们 的 url。 


http://your ip address:8001/demo 1/demo api/touch 3/ 


这 时 候 Django 的 debug 页 面 会 显示 返回 信息 ， 如 果 返 回 是 not been touched， 那 么 我 们 的 试验 就 成 功 了 。 


HTTP 200 OK 
Content-Type: application/json 
Vary: Accept 
Allow: GET, POST, HEAD, OPTIONS 


: "/tmpl/eee has not been touched", 
": "127.0.0.1 | FAILED | rc=1 >>\ntouch: 无 法 创建 \"/tmpl/eee\": 没有 那 
个 文件 或 目录 \n" 


通过 这 种 简单 的 方法 ， 我 们 就 有 效 地 规避 了 错误 。 


如 果 我 们 要 记录 这 些 日 志 怎么 办 ? 即 第 4 个 问题 。 那 太 容易 了 ，Linux 里 有 一 个 tee 命 令 ， 我 们 可 以 使 用 它 。 


@list route (methods=['get', 'post']) 
def touch 4(self, request): 
bits = 'ansible localhost -a "touch /tmpl/eee"|tee -a /tmp/ansible.1log' 


(status, output) = commands.getstatusoutput (bits) 
if status != 0: 

return Response({'msg': '/tmpl/eee has not been touched', '‘'output': output}) 
return Response({'msg': '/tmp/eee has been touched', 'output': output}) 


我 们 可 以 去 看 看 /tmp/ansible.log 这 个 日 志文 件 是 否 存在 。 


http://your ip address:8001/demo 1/demo api/touch 4/ 


通过 这 种 方法 ， 我 们 就 有 效 而 且 实时 地 保存 了 日 志文 件 ， 之 后 我 们 可 以 再 去 写 一 个 接口 ， 每 隔 几 秒 去 读 取 这 个 日 志文 件 ， 这 样 我 们 就 可 以 取得 实时 的 日 志 了 。 下 面 是 该 API 最 后 返回 的 结果 : 


HTTP 200 OK 

Content-Type: application/json 

Vary: Accept 

Allow: GET, POST, HEAD, OPTIONS 

{ 
"msg": "/tmp/eee has been touched", 
"output": "127.0.0.1 | FAILED | rc=1 >>\ntouch: 无 法 创建 \"/tmpl/eee\": 没有 那 
个 文件 或 目录 \n" 


但 是 ， 看 看 结果 ， 大 家 是 不 是 发 现 有 什么 不 对 ? 应 该 返回 的 是 "msg":"/tmp/eee has not been touched" 才 对 ， 这 是 怎么 回 
有 什么 好 的 方法 解决 吗 ? 接 下 来 我 们 就 来 解决 第 5 个 问题 。 我 们 可 以 在 每 条 命令 前 面 加 上 set-o pipefail， 就 可 以 了 。 


呢 ? 因为 如 果 使 用 tee 的 话 ， 所 有 的 命令 执行 的 状态 码 都 将 是 0。 那 我 们 


@list route (methods=['get'， "Post']) 

def touch 5(self, request): 
bits = 'set -o pipefail;ansible localhost -a "touch /tmpl/eee"|tee -a /tmp/ 
ansible.1log"' 


(status, output) = commands .getstatusoutput ('bash -c "{0}"'.format (bits)) 
if status != 0: 

return Response({'msg': '/tmpl/eee has not been touched', 'output': output}) 
return Response ({ "msg': '/tmp/eee has been touched', ‘'output': output}) 


访问 一 下 我 们 刚刚 编写 的 url 接 


http://your ip address:8001/demo 1/demo api/touch 5/ 


那么 我 们 再 来 执行 修改 之 后 的 文件 ， 已 经 能 得 到 了 我 们 想 要 的 正确 结果 了 。 


HTTP 200 OK 
Content-Type: application/json 
Vary: Accept 
Allow: GET, POST, HEAD, OPTIONS 


{ 


"msg": "/tmpl/eee has not been touched", 
"output": "127.0.0.1 | FAILED | rc=1 >>\ntouch: 缺少 了 文件 操作 数 \nTry 'touch 
--help' for more information.\n" 


以 上 我 们 都 是 直接 访问 网 页 接口 的 ， 相 当 于 直接 使 用 了 该 接口 的 get 方 法 。 那 么 我 们 怎么 使 用 它 的 post 方 法 来 传 入 我 们 自己 定义 的 一 些 变量 呢 ? 


我 们 来 解决 第 6 个 问题 。 我 们 会 用 到 restframework 中 的 request 这 个 参数 ， 所 有 的 post 参 数 都 存放 在 request.data 之 中 ， 这 样 我 们 可 以 很 简单 地 进行 调用 。 


我 们 现在 想 要 自己 定义 创建 的 文件 ， 就 要 把 我 们 现在 的 内 容 修改 成 touch_6 函 数 定义 的 方式 ， 但 我 们 不 能 用 http://your ip_address: 8001/demo_1/demo_api/touch_6/ 来 调用 接口 ， 这 样 无 法 传 入 自 


己 的 参数 。 我 们 可 以 使 用 curl 来 完成 。 我 们 的 接口 如 下 : 


Qlist route (methods=['get', "Post']) 
def touch 6(self, request): 


data = request .data 
filename = data['filename'] 


bits = 'set -o pipefail;ansible localhost -a "touch {0}"|tee -a /tmp/ansible. 

log' .format (filename) 

(status, output) = commands .getstatusoutput ('bash -c "{0}"'.format (bits)) 

if status != 0: 
return Response({'msg': '{0} has not been touched' .format (filename), ‘'output': 
output}) 

return Response({'msg': '{0} has been touched' .format (filename), 'output': output}) 


我 们 使 用 curl 来 post 我 们 的 数据 。 


curl -X post http://your ip address:8001/demo 1/demo api/touch 6/ -H "Content-Type: application/json" -d '{"filename": "/tmpl/sda"}' 


我 们 得 到 的 结果 如 下 : 


{ 


"msg":"/tmpl/sda has not been touched", "output":"127.0.0.1 | FAILED | rc=1 >>\ntouch: 缺少 了 文件 操作 数 \nTry 'touch --help' for more information.\n"} 


在 这 里 我 们 不 使 用 Ansible 的 API 的 方式 来 调用 Ansible 命 令 ， 之 所 以 不 使 用 Ansible 的 API 的 方式 进行 编写 ， 是 因为 这 样 我 们 同样 完成 了 我 们 的 功能 ,使 用 了 最 简单 易 懂 的 方式 实时 地 得 到 我 们 的 日 志文 件 
了 ， 同 时 也 照顾 了 大 多 数 读者 。 如 果 大 家 想 要 使 用 API 的 方式 ， 那 么 请 读者 细 读 地 第 12 章 的 内 容 ， 把 上 面 的 代码 进行 更 改 ， 调 用 第 12 章 最 后 一 节 封装 后 的 方法 (请 注意 版 本 1.9.x 或 2.1.0) 。 再 则 如 果 有 一 个 


耗 时 很 长 的 命令 ， 我 们 总 是 希望 能 够 得 到 它 执行 的 实时 信息 ， 这 样 ， 我 们 可 以 另 写 一 个 方法 去 实时 地 读 取 这 个 日 志文 件 。 如 果 读 者 学 会 第 12 章 前 面 几 节 关 于 Ansible 模 块 的 编写 ， 就 可 以 在 Playbook 中 使 
自己 编写 的 模块 了 。 另 外 需要 提醒 的 是 ， 对 于 喜欢 使 用 异步 gevent 来 启动 Django 应 用 的 读者 来 说 ， 当 调用 到 这 个 多 线程 Ansible 的 API 时 一 定 会 报错 ， 所 以 若 你 是 此 类 用 户 的 话 ， 请 使 用 Shell 的 方式 来 
调用 Ansible。 


我 们 


我 们 前 面 的 铺垫 都 是 为 了 最 后 一 步 ， 来 解答 我 们 的 第 7 个 问题 。 在 这 之 前 ， 先 给 我 们 的 Playbook 编 写 Web 接 口 。 我 们 先 准 备 好 以 下 Playbook: 


— hosts: localhost 


tasks: 
- name: touch file 
shell: touch /tmp 1/ggg 


我 们 来 看 以 下 接口 函数 : 


@list route (methods=['get', "Post']) 
def touch 7 (self, request): 


我 们 来 调用 编写 的 url 接 口 。 


ansible playbook = home dir + 'http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15935/OEBPS/Text/../ansible file/touch 7.yml' 
bits = 'set -0o pipefail;ansible-playbook {0}|tee -a /tmp/ansible.1og'.format (ansible_ 


playbook) 

(status, output) = commands .getstatusoutput ('bash -c "{0}"'.format (bits)) 

if status != 0: 
return Response({'msg': '{0} has not been touched'.format('ggg'), 'output': 
output}) 

return Response({'msg': '{0} has beentouched'.format('ggg'), 'output': output}) 


http://your ip address:8001/demo 1/demo api/touch 7/ 


这 样 ， 我 们 就 取得 了 所 要 的 结果 。 不 仅 如 此 ， 我 们 的 命令 rc 非 0 的 错误 输出 仍然 可 以 被 使 用 ， 这 样 就 省 去 很 多 时 间 ， 和 否则 我 们 还 要 判断 output 的 具体 信息 来 分 析 。 如 果 你 用 的 是 API 的 方式 ， 那 么 就 必须 


要 进 和 


这 方面 的 处 理 ， 在 这 里 我 们 可 以 省 去 这 一 步 了 。 


HTTP 200 OK 
Content-Type: application/json 
Vary: Accept 
Allow: GET, POST, HEAD, OPTIONS 


{ 


"msg": "ggg has not been touched", 
"output"; "NnPLAY [10CalhOSt]】 炎炎 炎炎 炎炎 大火 交大 光 克 类 交大 光 炎 次 交 炎 交 交大 炎 交 交 六 交大 次 交 交 次 尖 交 克 闪 
认 类 闪闪 交 类 闪闪 交大 交 交 六 类 六 诡 六 大 大 六 NTINDIGRITEHEIRTNIG FACTS 兴 淡 炎炎 类 次 灾 六 大 次 灾 炎炎 次 交 六 类 次 交火 内 次 交火 大奖 交 六 大 风灾 六 


六 炎炎 赤 大 炎炎 天 炎 炎炎 炎炎 赤 炎 炎 赤 炎炎 天 炎炎 大 类 炎炎 克 \nok: [127.0.0.1]\n\nTASK: [touch file] xxxxx 
六 六 赤 炎 炎 灵 赤 灾 炎 赤 灾 类 光大 炎 克 炎 赤 灾 灾 灾 大 炎 灾 炎 天 去 夫 业 大 炎炎 光 灾 灾 穴 业 赤 太 炎 灾 炎 夫 灾 大 灿 六 炎炎 炎 夫 炎 大 赤 \n 下 入] dl: 

[127.0.0.1] => {\"changed\"; true, \"cmd\":; \"touch /tmp 1/ggg \", \"delta\"; 
\"0:00:00.002072\", \"end\"; \"2016-05-03 22:05:35.973045\", \"re\": 1, 
\"start\":; \"2016-05-03 22:05:35.970976\"}\nstderr: touch: 无 法 创建 \"/tmp _ 1/ 
ggg\": 没有 那个 文件 或 目录 \n\nFATAL: all hosts have already failed -- aborting\ 
站 VNPLAY RECREP 天 炎 六 炎炎 尖 次 关 炎炎 次 碳 交 交 次 六 六 区 商 交 次 交 次 光 类 六 次 交 次 次 六 太 交 次 次 次 六 六 大 闪 交 次 交 次 六 太太 商 认 
和 to retry, use: --limit @/home/deploy/touch 7.retry\ 
WNnL27.0.0.1 : ok=1 changed=0 unreachable=0 

failed=1 \n" 


通过 以 上 的 尝试 ,我们 终于 来 到 最 关心 的 一 步 ， 把 参数 代入 Playbook 中 去 了 ， 也 就 是 第 8 个 问题 。 创 建 一 个 最 简单 的 Playbook 的 YML 格 式 的 文件 ， 名 称 为 touch_8.yml。 


touch 8.yml。 
— hosts: localhost 


tasks: 
- name: touch file 
shell: touch /tmp 1/{{filename}} 


想 要 代入 参数 的 话 ， 一 般 通 过 -e 来 实现 ， 比 如 要 创建 一 个 叫 sda 的 文件 ， 那 么 要 传 入 的 参数 就 是 -e'{"filename": "sda"}'。 


@list route (methods=['get', "Post']) 
def touch 8(self, request): 
data = str(request.data) .replace("u'", '\\"').replace(™'", '\\"') 
ansible playbook = home dir + "http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15935/0EBPS/Text/../ansible file/touch 8.yml" 


bits = ~“'ansible-playbook {0} -e'.format (ansible playbook) + " '{0}' ".format (data) 

+ '|tee -a /tmp/ansible.1log' 

Comm = 'bash -c "' + 'set -o pipefail;{0}"'.format (bits) 

(status, output) = commands.getstatusoutput (comm) 

if status != 0: 
return Response({'msg': '{0} has not been touched'.format('ggg'), 'output': 
output}) 

return Response({'msg': '{0} has been touched'.format('ggg'), 'output': output}) 


在 这 里 由 于 Ansible 中 使 用 的 参数 时 会 带 来 过 多 的 单 引号 和 双 引 号 ， 我 们 需要 提前 对 程序 做 处 理 ， 否 则 ， 将 不 能 同时 使 用 bash-c set-o pipefail; xxx'， 这 点 需要 特别 注意 。 


rm 


data = str(request.data) .replace("u'", '\\"').replace(™'", '\\"') 


我 们 最 后 来 调用 一 次 刚才 的 接口 。 


curl -X post http://your ip address:8001/demo 1/demo api/touch 8/ -H "Content-Type: application/json" -d '{"filename": "/tmpl/sda"}' 


我 们 执行 后 ， 得 到 以 下 运行 结果 : 


PLAY [1]OcalhOSt] 六 炎 太 六 炎炎 六 交 太太 次 次 大 炎 六 次 次 炎 六 次 次 炎 六 次 次 炎 六 次 大 太 次 次 次 太 六 次 交 六 六 次 大大 办 


GATHERING FACTS 炎炎 炎 炎炎 次 六 突 六 奖 六 次 交 六 次 交 闪 炎 闪光 次 座次 次 奖 六 奖 六 奖 商 奖 六 闪光 交 普 次 大庆 
ok: [127.0.0.1] 

TASK: [touch fi]@] * 炎 炎炎 商 淡 次 交 洋 六 六 炎 六 六 六 闪闪 次 次 交 闪光 次 次 闪光 六 六 六 六 六 六 闪 交 次 次 闪 交 次 交 详 交大 

failed: [127.0.0.1] => {"changed": true, "cmd": "touch /tmp 1// tmpl/sda ", "delta": "0:00:00.002124", "end": "2016-05-08 14:08:04.868095", "rc": 1, "start": "2016-05-08 14:08: 


stderr: touch: 无 法 创建 "/tmp_1// tmpl/sda": 没有 那个 文件 或 目录 
FATAL: all hosts have already failed -- aborting 
PLAY RECAP 玉 汪 六 炎炎 炎炎 次 六 次 次 六 次 次 六 关 关 六 次 六 六 次 六 六 次 关 类 类 关 六 次 大大 次 次 六 次 关 类 闪光 次 六 六 次 册 奖 办 
to retry, use: --limit @/home/deploy/touch 8.retry 
127:00:1 : Ok=1 changed=0 unreachable=0 failed=1 


第 12 章 的 API 调 用 的 类 替换 上 述 代码 中 的 commands 模 块 即 可 。 


至 此 ,我 们 已 经 完成 了 所 有 的 Ansible 命 令 行 调用 的 方式 了 ， 这 样 已 经 够 用 了 ， 而 且 足 够 方便 。 如 果 想 用 API 的 方式 调用 ，5 


A 同 


四 在 Python 3 中 该 模块 被 删除 了 ， 但 我 们 可 以 找到 与 之 相同 的 模块 subprocess， 可 以 使 用 subprocess.getstatusoutput 来 替换 后 面 用 到 的 commands.getstatusoutput， 功 能 大 致 一 样 。 


13.4 ”前端 基 础 知识 介绍 


大 家 在 阅读 下 一 节 内 容 之 前 ， 先 去 了 解 下 HTML、CSS、Javascript 这 3 部 分 的 内 容 ， 不 需要 深入 了 解 ， 但 要 知道 它们 三 者 是 怎么 结合 的 ， 其 中 HTML、5CSSs 读 者 们 稍 作 了 解 即 可 。 我 们 将 会 使 有 


Bootstrap3 蔡 换 大 部 分 HTML、CSS 的 部 分 ， 借 此 来 简化 静态 页 面 的 编写 。 而 对 于 JavaScript， 可 能 读者 要 多 花 点 心思 了 ， 至 少 要 知道 原生 JavaScript 的 一 些 基 础 语法 规则 ， 之 后 我 们 会 使 用 Angularjs 来 简化 


JavaScript 的 编写 。 


13.4.1 HTML 和 和 CSS 简介 


章节 的 需要 ， 还 是 会 简单 介绍 一 下 后 面 会 用 到 的 部 分 。 


对 


对 于 Bootstrap3， 大 家 可 以 通过 Google 或 者 Baidu 搜 索 Bootstrap 中 文教 程 即 可 ， 里 面 有 详细 的 介绍 ， 在 此 不 多 介绍 。 但 考虑 到 后 


首先 介绍 一 下 html 文 件 的 基础 结构 。 


<html lang="zh-CN"> 
<head> 
<meta charset="utf-8"> 
<title>Bootstrap3</title> 
<link href="css/bootstrap.min.css" rel="stylesheet"> 
</head> 
<body> 
Web 内 容 
<script src="js/bootstrap.min.js"></script> 
</body> 
</html> 


首先 要 关心 的 是 那些 静态 文件 CSS、JavaScript 的 引用 问题 ， 原 则 是 尽量 把 CSS 文 件 的 调用 放 到 head 这 个 标签 里 面 。 而 为 了 加 快 JavaScript 文 件 的 读 取 速度 ， 我 们 推荐 把 所 有 的 JavaScript 文 件 放 在 最 


后 ， 即 body 标 签 的 末尾 。 


ee 


我 们 需要 知道 一 些 Bootstrap3 的 基础 知识 : Bootstrap3 使 用 的 是 栅 格 类 布局 ， 它 把 页 面 的 每 一 行 分 为 12 个 栅 格 ， 当 你 用 至 
了 。 


例如 : 


其 中 一 个 栅 格 编写 内 容 时 ， 只 需要 在 对 应 HTML 标 签 中 使 用 col-md-1 就 可 以 


<div class="col-md-1">.col-md-1</div> 


我 们 后 面 用 到 Bootstrap3 的 内 容 不 会 很 多 ， 主 要 以 教学 和 介绍 为 主 。 我 们 列举 说 明 一 下 稍 后 会 用 到 的 一 些 类 ， 请 大 家 对 这 些 稍 做 了 解 。 


:col-md-#+: 基础 栅 格 类 ; 

col-md-offset-*+: 栅 格 后 退 类 ; 

“ form-conttol: 输入 美化 类 ， 主 要 用 于 标签 input; 
“ control-label: 标签 美化 类 ， 主 要 用 于 标签 label; 


“ btn-primary: 按钮 美化 类 ， 主要 用 于 标签 button。 


13.4.2 ”JavaScript 简 介 


接 下 来 ， 我 们 来 介绍 JavaScript 中 最 流行 的 框架 Angularjs。 它 以 简单 易 用 著称 ， 它 最 主要 的 特性 还 是 双向 数据 绑 定 ， 能 帮助 我 们 很 简单 地 把 HTML 和 JavaScript 里 的 内 容 关 联 起 来 。 在 使 用 之 前 ， 需 
对 Angularjs 做 一 些 调整 。 


1) 定义 Angular 的 模块 的 名 字 ， 在 这 里 我 们 定义 为 myApp。 


2) 由 于 如 果 要 在 Django 中 使 用 Angularjs， 我 们 要 把 HTM| 数据 绑 定 部 分 的 标记 符 从 {f} 改 为 
{人 0}。 


他 的 标记 符 (我 们 在 这 里 改 为 (() ) ) ， 以 避免 与 原来 Django 模 板 标签 的 冲突 ， 因 为 Django 模 板 也 使 


3) 在 Django 请 求 上 默认 加 上 csrftoken 的 认证 ， 这 样 可 以 避免 很 多 问题 ， 这 也 是 让 使 用 Django 的 新 手 经 常 碰 到 且 很 头痛 的 问题 。 


为 了 解决 上 面 3 个 问题 ， 请 把 下 面 的 JavaScript 代 码 导 入 HTML 主 文件 中 ， 使 之 永久 生效 。 请 在 HTML 文 件 中 用 如 下 方式 导入 main.js。 


<script type="text/javascript" src="{% static 'js/angular-factory/ main ctrl.js' %$}"></script> 
ansible demo/root demo/static root/js/angular-factory/main.js 文 件 内 容 : var app = angular.module('myApp'，[]); 
app.config (function ($interpolateProvider) { 
$interpolateProvider.startSymbol (' (('); 
$interpolateProvider.endSymbol ('))'); 
1D); 


app.run( 
function($http) { 
Shttp.defaults.xsrfCookieName = 'csrftoken'; 
$http.defaults.xsrfHeaderName = 'X-CSRFToken'; 


DD); 


我 们 之 后 会 使 用 它 的 一 些 关键 组 件 ， 最 好 请 大 家 做 好 准备 。 不 过 我 们 也 将 在 后 面 的 一 节 ， 结 合 例子 来 给 大 家 介绍 。 


(1) HTML 组 件 

“ngmodel: 定义 双向 绑 定 数据 的 HTML 部 分 ; 
“ngcjlick: 当 单 击 时 ， 执 行 JavaScript 的 动作 。 
(2) JavaScript 组 件 

“$scope: 定义 双向 绑 定 数据 的 JavaScript 部 分 ; 


“ $http: 传 递 给 后 端的 Python 程序 的 前 端 API。 


13.5 ”Ansible WebUl 界 面 开发 


我 们 在 13.3 节 中 说 了 那么 多 关于 http 调 用 的 接口 问题 ， 而 且 在 13.4 节 中 也 简单 地 介绍 了 需要 了 解 的 前 端 知识 ， 所 有 条 件 都 具备 了 ， 那 么 就 开始 编写 一 个 简单 的 html 调 用 我 们 的 接口 吧 。 


13.5.1 “对 接 前 端 页 面 与 Ansible 的 Web 接 口 


为 了 让 大 家 的 思路 更 加 清晰 ， 分 成 4 步 来 完成 我 们 对 前 端 页 面 和 Web 接 口 的 结合 的 介绍 。 


步骤 1: 需要 在 ansible demo/demo_1/urls.py 里 添加 我 们 网 页 访问 的 ur 定义 。 


定义 访问 的 ur 为 demo_static， 加 上 我 们 在 root_ demo 的 主 目录 中 定义 的 一 级 目录 ， 那 么 我 们 访问 的 url 就 应 该 是 demo_1/demo _static/， 加 上 我 们 的 主机 IP 和 端口 ， 那 就 应 该 是 
http://youripadderss: 8001/demo_1/demo static/。 在 demo_1/urls.py 添 加 我 们 的 url， 另 外 ， 还 需要 指定 的 视图 名 称 demo_static， 如 (url (r'^url 地 址 '， 视 图 名 称 ) ，) 。 


urlpatterns += [ 
url(r' ^demo_static/ ', demo static), 
] 


步骤 2: 在 views.py 里 添加 视图 ， 并 为 这 个 视图 指定 它 对 应 的 html 文 件 。 


我 们 把 上 面 的 url 地 址 与 视图 名 称 demo static 这 个 方法 对 应 起 来 ， 在 最 后 我 们 需要 指定 htm| 文 件 demo_static.html， 如 (render (request，'html 文 件 ') ) 。 


Qapi view(['GET', 'POST']) 
def demo static (request): 

if request.method 一 'GET': 
return render (request, 'demo static.html') 


通过 前 两 步 我 们 很 清晰 地 了 解 了 url 地 址 与 html 文 件 的 关系 ， 这 个 我 们 在 13.2 节 简单 提 过 : url (访问 地 址 ) 一 views (视图 方法 ) 一 html (html 文 件 位 置 ) 。 


步骤 3: 编写 html。 


我 们 来 编写 一 个 最 简单 的 html 文 件 ， 根 据 views.py 中 的 demo_static 这 个 方法 的 指定 ,编写 的 文件 为 demo_static.html。Django 所 有 的 定义 的 html 都 以 emplate 为 根 目 录 ， 所 以 应 该 编写 的 真正 目录 
文件 为 ansible_ demo/root_demo/templates/demo _static.html。 看 以 下 template 模 板 。 


{$$ extends "normal/base.html" $} 

{$% load staticfiles %} 

{$% block title %}demo static{% endblock %} 
{S$ block content %} 

{g% include "demo/demo static.html" %} 

{SS endblock %} 

{$$ block chosen js file %} 

<!-- end -> 

{SS endblock %} 


大 家 是 不 是 没有 看 到 任何 的 html 标 签 ? 我 们 还 未 满足 编写 的 那个 简单 的 页 面条 件 ， 因 为 需要 提前 导入 我 们 以 后 可 能 用 到 的 一 些 css 和 js 文件 ， 可 以 通过 Django 的 块 级 标签 来 导入 
{%extends"normal/base.html"%}， 之 后 就 可 以 编辑 真正 的 html 文 件 demo/demo _static.html 了 。 我 们 还 是 通过 include 标 签 导入 {%include"demo/demo_static.html"%},， 来 看 下 demo _static.html。 


<div class="col-md-12"> 
<div class="row col-md-12"> 
<br /> 
<p>it's work</p 


</div> 
</div> 


如 果 大 家 有 兴趣 可 以 自己 编写 normal/base.html， 笔 者 已 经 为 大 家 导入 jQuery、Bootstrap、Angularjs 这 些 样式 ， 如 需要 添加 ， 请 编写 入 


咱 
出 


接 下 来 大 家 可 以 访问 我 们 的 网 页 查看 结果 ， 如 出 现 it works， 那 一 个 网 页 就 定义 完成 了 。 


步骤 4: 为 html| 添 加 它 的 JavaScript 控 制 文件 。 


现在 来 调用 我 们 写 的 接口 /demo_1/demo_api/touch_2/， 来 完成 在 页 面 上 调用 Ansible 执 行 的 任务 ， 我 们 主要 使 用 Angular.js 来 完成 ， 此 处 要 处 理 http (Ajax) 的 回调 问题 ，Angularjs 提 供 了 一 个 很 


好 的 方法 $http， 因 为 /demo_1/demo_api/touch_2/ 这 个 接口 只 使 用 $http 的 get 方 法 即 可 ， 其 回调 功能 主要 在 .success 和 .error 的 方法 中 。 接 下 来 ， 我 们 来 看 JavaScript 文 件 。 


app.controller('demo testl1 ctrl',function ($scope, $http){ 
$scope.touch file = function() { 
alert (' 开 始 创建 文件 '); 
S$http.get ('/demo_1/demo api/touch 2/') 
.Success (function (result){ 
alert (' 创 建文 件 成 功 '); 
Console.1og (result) 
}) .error (function (err){ 
alert ("创建 文件 失败 ') 7 


Console.1og (err) 


如 果 我 们 要 调用 JavaScript 的 这 个 controller， 首 先 需 要 在 html 文 件 中 引用 这 个 JavaScript 文 件 。 即 在 ansible_demo/root_demo/templates/demo_ansible.html 文 件 中 使 用 。 


{% block chosen js file %} 
<script type="text/javascript" src="{% static 'js/angular-controller/demo ansible/demo testl] ctrl.js' $}"></script> 
$$ endblock %} 


之 后 在 html 文 件 的 最 高 层 必须 声明 ng-controller="demo _test1_ctrl"， 以 此 来 调用 这 个 叫 作 demo_test1_ctrl 的 controller。 即 在 ansible_demo/root_demo/templates/demo/demo test1.html 中 使 


以 下 形式 : 


<div class="col-md-12" ng-controller="demo testl] ctrl"> 


我 们 来 看 完整 的 html 文 件 。 


<div class="col-md-12" ng-controller="demo test1_ctr1"> 
<div class="row col-md-12"> 
he 
<button class="btn btn btn-primary col-md-offset-5" ng-click="touch_ 
file () "> 使 用 ansible 创 建文 件 </button> 
</div> 
</div> 


我 们 现在 就 可 以 使 用 网 页 来 调用 我 们 的 接口 了 。 访 问 以 url 地址 : 


http://youraddress:8001/demo 1/demo ansible/ 


我 们 得 到 的 网 页 应 该 是 一 个 简单 的 按钮 ， 创 建文 件 页 面 如 图 13-1 所 示 。 


使 用 ansible® 


图 13-1 ”创建 文件 页 面 


现在 读者 可 以 尝试 自己 单 击 下 这 个 按钮 ， 是 不 是 得 到 了 我 们 所 要 的 结果 了 呢 ? 


13.5.2 ”配置 Web 页 面 传 参 


以 上 的 所 有 步骤 的 努力 都 是 为 了 最 后 一 步 : 传 入 我 们 的 参数 给 前 端 页 面 。 


1) 同样 在 urls.py 和 views.py 中 添加 ur 路 由 并 指定 它 的 html 文 件 ， 我 们 把 ur 定义 为 demo_ansible_ with_vars， 并 指定 对 应 的 方法 demo_ansible_with_vars， 关 联 我 们 的 html 文 件 
demo_ansible_with_vars.html。 这 个 文件 我 们 之 前 已 经 介绍 过 了 ， 详 见 : ansible demoy/demo_1/urls.py 和 ansible demo/demo _1/views.py。 


2) 我 们 来 修改 demo_ansible_with_vars.html 文 件 ， 指 定 真正 的 html 页 面 demo/demo _test2.html， 并 引入 JavaScript 文 件 ， 并 定义 controller 名 分 别 为 js/angular- 
controller/demo_ansible/demo test2_ctrljs 和 demo test2_ctrl。 那 么 我 们 来 看 一 下 这 两 个 文件 demo/demo test2.html。 


<div class="col-md-12" ng-controller="demo test2 ctrl"> 

<div class="form-group col-md-offset-3"™> 
<br/> 
<label class="col-md-3 control-label"> 请 输入 要 创建 的 文件 :</label> 
<div class="col-md-4"> 

<input type="text" class="form-control" ng-model="filename" /> 

</div> 

</div> 

<div class="row col-md-12"> 
<br /> 


<button class="btn btn btn-primary col-md-offset-5" ng-click="touch 
file (filename) "> 使 用 ansible 创 建文 件 </button> 加 
</div> 
<br/> 
<div class="col-md-12"> 
<p class="col-md-offset-3">(( main msg ))</p> 
<br/> 而 
<label class="col-md-offset-3 control-label" ng-if="ansible log">ansible 
日 志 :</label> 加 
<br/> 
<textarea class="form-control" rows="20" ng-model="ansible log" ng-if="ansible 
1og"></textarea> 加 加 
</div> 
</div> 


在 这 里 我 们 传 入 的 文件 通过 ng-model="filename" 来 定义 ， 把 这 个 filename 传 入 JavaScript 的 $scope.touch _file 方 法 中 ， 把 $http 的 方法 改 成 传 参 的 post 方 法 ， 并 修改 我 们 的 接 
为 /demo_1/demo_api/touch_8/ 就 可 以 了 。 我 们 再 来 看 JavaScript 文 件 : 


app.controller('demo test2 ctrl',function ($scope, $http){ 
$scope. touch file = function(filename) { 
$scope.ansible log = "''; 
if(_.isEmpty (filename)){ 
alert (' 输 入 不 能 为 空 ') 
return; 
} 
$scope.main msg = ' 开 始 创建 文件 ,请 耐心 等 待 '; 
data = {'filename': filename} 
$http.post ('/demo 1/demo api/touch 8/', data) 
‘Success (function (result) { 
alert (result['msg']); 
console.1og (result) 
$scope.ansible log = result['output']; 
$scope.main msg = '"; 
}) .error (function (err){ 
console.1og (err) 


DD); 


这 样 我 们 的 工作 基本 已 经 完成 了 ， 我 们 来 访问 已 经 编写 好 的 网 页 吧 。 
http://youraddress: 8001/demo 1/demo ansible with vars/ 


我 们 会 看 到 这 个 页 面 ， 带 参数 的 创建 文件 页 面 如 图 13-2 所 示 。 


使 用 ansible 创 建文 件 


13-2 带 参 数 的 创建 文件 页 面 


我 们 来 创建 一 个 叫 test 的 文件 ， 填 入 空格 中 之 后 ， 单 击 “ 使 用 ansible 创 建文 件 ” 按 钮 即 可 。 在 运行 的 时 候 可 能 会 花 点 时 间 ， 这 个 时 间 取决 于 Ansible 命 令 运行 消耗 的 时 间 ， 请 耐心 等 待 。 之 后 读者 就 可 以 
看 到 我 们 的 最 终结 构 页 面 了 ， 页 面 运行 结果 如 图 13-3 所 示 。 


请 输入 要 创建 的 文件 : 


使 用 ansible 创 | 


ansible 日 志 : 


PLAY [localhost] 


GATHERING FACTS 
ok: [127.0.0.1] 


TASK: [touch file] 


failed: [127.0.0.1] => {"changed": true, cmd” "touch /tmp_ /test " "delta": "0:00:00.002253", "end"- "2016-05-14 14-18-37.608110", "rc" 1, "start": "2016-05-14 
14:18:37.6058579 
stderr touch: 无 法 创建 vtmp_t/test": 没有 那个 文件 或 目录 


FATAL: all hosts have already failed -- aborting 


PLAY RECAP 
to retry, use: —limit @/home/deploy/touch_8.retry 


127.0.0.1 -Ok=1 changed=0 Uwnreachable=0 failed=1 


接 下 来 大 家 可 以 发 挥 自己 的 创造 能 力 ， 编 写 更 多 的 接口 和 与 之 配对 的 页 面 来 完成 一 些 功能 。 但 由 于 还 没有 做 权限 控制 ， 请 大 家 不 要 放 到 互联 网 上 去 。 


13.6 ”本章 小 结 


在 这 章 中 ， 我 们 开始 学 习 如 何 使 用 现 有 的 工具 和 语言 来 编写 属于 自己 的 Ansible 调 用 平台 ， 主 要 通过 现在 最 流行 的 几 门 语言 和 框架 即 Django 作 为 后 端 语言 ，Angularjs+ Bootstrap3 作 为 前 端 。 这 样 我 们 
也 可 以 寻求 Ansible Tower 以 外 的 集中 管理 的 页 面 方式 来 完成 我 们 的 工作 了 。 


目前 介绍 的 阶段 虽然 内 容 比 较 简单 ， 但 通过 本 章 内 容 的 学 习 ， 我 们 可 以 很 清晰 地 了 解 到 开发 流程 和 各 个 语言 之 间 的 工作 关系 ， 虽 然 对 于 初学 者 比较 困难 ， 但 笔者 提供 的 开发 方式 和 配置 相对 清晰 ， 且 是 
一 一 对 应 的 ， 即 一 个 页 面 对 应 一 个 HTML+Angular 的 一 个 controller 的 js 文件 ， 通 过 该 controller 文 件 调用 后 端 Django 的 APl 来 实现 整个 页 面 构建 过 程 ， 通 过 切片 式 的 编写 ， 我 们 可 以 将 这 些 页 面 最 后 重新 拼 
成 一 个 页 面 ， 这 样 也 会 大 大 降低 我 们 的 工作 量 ， 同 时 也 有 利于 同事 之 间 的 分 工 合作 。 


回 


在 下 一 章 ， 我 们 还 会 进一步 深化 学 过 的 内 容 ， 将 我 们 日 常 经 常会 遇 到 的 问题 和 功能 以 实例 的 形式 为 读者 展示 。 


第 14 章 “Web 与 Ansible 结 合 的 常用 实例 


在 上 一 章 中 ， 我 们 学 习 了 Web 与 Ansible 结 合 使 用 的 简单 例子 。 本 章 我 们 将 把 重点 放 在 读者 日 常 可 能 使 用 到 的 例子 ， 为 大 家 尽 可 能 多 地 打开 设计 的 思路 。 


14.1 Web 方式 管理 Ansible 的 Inventory 


Ansible 的 hosts 文 件 在 前 面 的 章节 中 已 经 介绍 过 了 ， 可 能 觉得 没什么 值得 多 说 的 ， 是 与 Linux 机 器 的 hosts 文 件 属于 同一 类 性 质 的 文件 ， 只 是 作为 定义 主机 提供 Ansible 命 令 ， 指 定 目标 主机 来 使 用 的 。 但 
是 笔者 想 告 诉 大 家 的 是 ， 请 一 定 要 尽 可 能 地 运用 Ansible 对 主机 定义 的 特性 ， 来 制定 尽 可 能 完整 又 相对 简洁 的 hosts 文 件 ， 因 为 它 将 影响 你 后 续 程序 设计 的 全 局 文件 ， 请 大 家 考虑 好 再 对 它 进行 规划 。 我 们 会 
将 它 的 信息 存 入 数据 库 ， 再 反 向 生成 该 hosts 文 件 ， 这 样 后 续 迁 移 到 其 他 机 器 也 相对 容易 一 些 。 


14.1.1 ”重新 定制 Ansible 的 Hosts 文 件 规则 


对 于 Ansible 的 hosts 文 件 管理 ， 我 们 需要 对 它 的 格式 做 一 定 的 规定 ， 以 更 方便 我 们 后 续 更 容易 在 数据 库 层 面 上 读 取 和 存储 ， 为 我 们 后 续 的 Web 设 计 提供 基石 。 
首先 ， 我 们 制定 hosts 文 件 应 该 遵循 两 点 规则 : 


1) 制定 时 请 遵循 简单 明了 的 原则 ， 避 免 产 生 歧义 。 


2) 最 好 不 要 有 其 他 复杂 的 Lnventory 的 定义 ， 满 足 精确 到 一 台 机 器 即 可 。 


对 于 上 述 1) ， 大 家 可 能 觉得 hosts 文 件 写 出 以 下 方式 就 可 以 了 : 


[group-test1] 
192.168.1.2 
192.168.1.3 


但 随 着 设计 的 深入 和 复杂 ， 这 种 简单 的 方式 将 不 再 适合 设计 的 需要 ， 根 据 我 们 上 面 的 第 1 点 规则 ， 我 们 建议 Ansible 的 hosts 文 件 的 写法 最 好 是 如 下 方式 ， 因 为 它 把 所 有 最 基础 和 必要 的 信息 都 写 入 文件 
中 ， 避 免 了 所 有 的 层 义 。 


[group-test1] 

test_ testl ansible ssh port=22 ansible ssh host=192.168.1.2 
ansible_ssh user=deploy 

test test2 ansible ssh port=22 ansible ssh host=192.168.1.3 
ansible ssh user=deploy -Ss 


以 下 设计 也 是 可 以 的 (用 冒号 来 定义 主机 名 ) ， 但 是 只 适用 于 Ansible1.7.x 以 上 的 版 本 ，Ansible2.0 以 上 版 本 将 不 再 支持 对 此 类 文件 的 解析 。 


test_test1: ansible ssh port=22 ansible ssh host=192.168.1.2 
ansible ssh user=deploy 


再 举 一 个 错误 的 例子 ， 请 大 家 也 不 要 写成 以 下 形式 : 


[group-test1] 
192.168.1.2 ansible ssh port=22 ansible ssh user=deploy 
192.168.1.3 ansible ssh port=22 ansible ssh user=deploy 


这 时 因为 上 面 那个 hosts 文 件 的 两 个 IP 并 没有 冲突 ， 如 果 是 下 面 的 形式 ， 第 2 台 机 器 (尽管 它 的 端口 不 一 样 ) 将 永远 不 会 被 读 取 (如 ansible192.168.1.2-a xxx) ,如果 读者 把 hosts 文 件 写成 下 面 形式 的 
格式 ， 那 么 端口 为 222 的 这 人 台 机 器 将 无 法 被 读 取 。 


[group-test2] 
192.168.1.2 ansible ssh port=22 ansible ssh user=deploy 
192.168.1.2 ansible ssh port=222 ansible ssh user=deploy 


所 以 请 使 用 我 们 推荐 的 方式 来 规范 你 的 配置 文件 ， 从 而 有 效 地 避免 Ansible 识 别 主机 的 歧义 。 


Ei 


对 于 规则 的 第 2 条 的 解释 ， 保 持 一 个 文件 的 简洁 性 和 主机 定义 的 原子 性 ， 可 以 有 效 地 为 我 们 后 续 设计 的 多 样 和 复杂 性 铺 平 道路 ， 因 为 我 们 以 后 选择 的 机 器 和 机 器 组 ， 将 会 使 用 “: ”进行 选择 和 拼接 ( 例 
如 test test3: test_test1) ， 虽 然 我 们 觉得 这 样 每 次 调用 Playbook 写 如 此 长 的 host 定 义 会 比较 麻烦 ， 但 是 如 果 交 给 我 们 后 续 设 计 的 程序 来 拼接 ， 就 一 点 也 不 麻烦 了 。 


这 样 ， 大 家 可 能 没什么 概念 ， 大 家 之 后 可 以 设计 成 如 下 ， 这 样 我 们 就 可 以 精确 到 主机 节点 ， 后 续 就 可 以 设计 更 复杂 的 组 合 了 ， 主 机 添加 列表 如 图 14-1 所 示 。 


14.1.2 ”使 用 ConfigParser 解 析 并 生成 Ansible Hosts 文 件 


在 14.1.1 节 里 我 们 介绍 了 如 何 定义 hosts 文 件 ， 并 解释 了 这 样 定义 的 原因 。 接 下 来 我 们 要 通过 数据 库 取 到 的 JSON 数 据 来 为 Ansible 文 件 产生 下 面 的 hosts 列 表 。 使 用 JSON 格 式 的 数据 是 因为 我 们 后 面 会 使 
Javascript， 而 其 交换 数据 是 通过 JSON 格 式 来 完成 的 。 例 如 生成 后 为 以 下 文件 : 


重新 生成 ansible hosts 
组 名 


group-test1 


group-test1 


group-test2 


group_test3 


图 14-1 主机 添加 列表 


[test-groupl] 
test1 ansible ssh port=22 ansible ssh host=127.0.0.1 ansible ssh user=deploy 
test2 ansible ssh port=22 ansible ssh host=127.0.0.1 ansible ssh user=deploy 
[test-group2] 
test3 ansible ssh port=22 ansible ssh host=127.0.0.1 ansible ssh user=deploy 


为 了 产生 上 面 的 Ansible 的 hosts 主 机 信息 ， 我 们 将 使 用 Python 的 ConfigParser 模 块 。 但 有 一 点 需要 注意 ， 为 了 便于 区 分 Ansible 的 key 和 value， 我 们 将 统一 使 用 两 个 空格 为 键 值 (如 


test1ansible_ssh_port=22) 。 但 是 由 于 原生 的 ConfigParser 模 块 在 保存 文件 后 将 自动 把 冒号 和 空格 等 解析 成 等 号 (如 test1=ansible_ssh_port=22) ， 从 而 造成 Ansible 无 法 解析 生成 的 hosts 文 件 。 所 以 为 


了 避免 键 值 标记 的 冲突 (主要 是 等 号 ) ， 我 们 将 对 ConfigParser 模 块 进行 扩展 。 那 么 来 编写 Part1， 把 ConfigParser 模 块 修改 为 我 们 所 能 使 用 的 模块 KconfigParser。 


# !/usr/bin/env Python 
类 = oodings Utf-8 一 上 一 
import json 
import ConfigParser 
Class KconfigParser (ConfigParser.RawConfigParser): 
def write(self, fp): 
mn" 解决 ConfigParser 的 冒号 、 空 格 等 被 自动 保存 为 等 号 而 引起 的 后 续 解析 问题 """ 
if self. defaults: 
fp.write("[%s] \n™" % DEFRULTSECT) 
for (key, value) in self. defaults.items(): 
fp.write("%s S%s\n" % (key, str(value) .replace('\n', '\n\t'))) 
fp.write("\n") 
for section in self. sections: 
fp.write("[%s]\n™ % section) 
for (key, value) in self. sections [section] .items () : 
if key !=" name ": 
fp.write("%s $s\n™" % 
(key，str (value) .replace('\n'，'\n\t'))) # 使 用 两 个 空格 取代 key 
fp.write("\n") 


接 下 来 我 们 将 会 使 用 KconfigParser 来 替代 原生 的 ConfigParser， 这 里 我 们 将 用 两 个 空格 来 替代 等 号 或 者 冒号 作为 key， 而 且 经 过 测试 ， 空 格 将 通过 Ansible 所 有 版 本 的 主机 名 识别 。 为 了 区 别 其 他 空格 


(如 ansible_ssh_port=22ansible_ssh_host=127.0.0.1) ， 我 们 改 为 用 两 个 空格 区 分 key 和 value (如 test1ansible_ssh_port=22) ， 冒 号 将 在 Ansible2+ 版 本 不 被 识别 。 我 们 来 写 如 何 生成 


自己 的 hosts 文 件 


的 方法 ， 来 编写 Part2。 


Class Generate ansible hosts (object) : 
def _ ;init (self, host file) : 
self.config = KconfigParser (allow no value=True) 
self.host file = host file 
def create all servers(self, items): 
for i in items: 
group = i['group'] 
self.config.add section (group) 
for j in i['items']: 
name = j['name'] 
ssh port = j['ssh port'] 
ssh host j['ssh host'] 
ssh user = j['ssh user'] 
build = "ansible ssh port={0} ansible ssh host={1} ansible ssh_ 
user={2}".format ( 
ssh port, ssh host, ssh user) 
self.config.set (group, name, build) 
with open(self.host file, 'wb') as configfile: 
self.config.write (configfile) 
return True 


在 使 用 我 们 的 数据 库 前 (程序 取出 后 我 们 将 其 转化 为 JSON 格 式 ) ， 我 们 首先 使 用 一 些 假定 的 JSON 数 据 来 代替 我 们 之 后 从 数据 库 取出 的 数据 ， 来 完成 编写 测试 工作 。 以 下 就 是 我 们 定义 的 JSON 数 据 ， 


并 用 来 存 入 hosts 文 件 。 


"group": "group-name", # 定义 组 名 
"items": [ 
# 定义 主机 名 
"ssh_hos "host-ip"， 井 定义 主机 ip 
"ssh_por host-port， # 定义 主机 端口 
"ssh user":; "host-user" # 定义 信任 用 户 


最 后 ， 那 么 我 们 来 编写 Part3 制 造 的 一 些 JSON 数 据 ， 同 时 编写 语句 来 测试 我 们 上 面 的 方法 。 


generate hosts = Generate ansible _ hosts ('/tmp/hosts') # 定义 Ansible 的 hosts 文 件 
data = [ 
{ 
"group": "test-groupl", 


"items": [ 

{ 
"name": "testl"， 
"ooh hoat"s "127.0.0 1", 
"ssh port 22i 
"ssh user": "deploy" 

}, 

{ 
"name": "test2", 
"gsh host": “127:0. Del" 
"geh port": 22, 


"ssh user": "deploy" 


}, 


"group" : "test-group2", 
"items": [ 
{ 
"name": "test3", 
"ssh host": "127.0.0.1"， 
"ssh Port": 22, 
"ssh user": "deploy" 


i 
] 
generate hosts.create all servers (data) # 生成 数据 


这 样 ， 我 们 便 编造 好 了 存储 的 JSON 格 式 数据 了 。 之 后 ， 通 过 上 述 的 generate_hosts.create_all_servers 方 法 来 生成 Ansible 的 hosts 文 件 即 可 。 


14.1.3 “使 用 数据 库 的 存储 数据 生成 的 Ansible Hosts 文 件 


上 一 节 ， 我 们 已 经 设计 好 JSON 的 数据 格式 ， 那 么 我 们 就 参照 这 个 数据 格式 来 编写 数据 库 的 字段 。 


我 们 简单 地 设计 了 字段 : 添加 在 文件 在 ansible_demo/demo_2/api/models.py 中 的 内 容 如 下 : 


class Ansible Host (models.Model): 
group = models.CharField (max length=50, blank=True, default='') # 组 名 
name = models.CharField (max length=50, blank=True, default="'') # 主机 别名 
ssh host = models.CharField (max_ length=50, blank=True, default="'')# 主机 ip 
ssh user = models.CharField (max_ length=50，blank=True,default="' ')# 信任 的 用 户 名 
ssh port = models.CharField (max_ length=50，blank=True, default="'')# 主机 端口 
server type = models.CharField (max length=100， blank=True, default="'')# 主机 类 型 
commit = models.TextField (blank=True, null=True) # 备注 


在 设计 好 models.py 的 文件 后 ， 我 们 就 可 以 生成 demo_2 数 据 库 的 Ansible_Host 表 结构 。 我 们 可 以 使 用 以 下 命令 来 完成 : 


cd ansible demo 
./manage.py makemigrations demo 2 
‘/manage.py migrate demo 2 


我 们 要 编写 接口 来 生成 Hosts 文 件 ， 这 时 我 们 上 面 编写 的 生成 Hosts 文 件 的 方法 也 可 以 被 我 们 的 接口 调用 了 。 


之 后 ， 我 们 就 在 http://youripaddress: yourport/demo_2/ansible_host_api/ 里 输入 一 些 数据 ， 如 图 14-2 所 示 。 


Raw data HTML form 


group-test1 
test1 

| 127.0.0.1 | 
deploy 


] 


14-2 ”添加 host 数 据 


我 们 先 任意 添加 一 些 测试 数据 ， 如 图 14-3 所 示 。 


有 了 这 些 测试 数据 后 ， 我 们 就 可 以 着 手 编写 生成 Ansible 的 hosts 接 口 了 ， 通 过 使 用 上 面 编写 的 Generate_ansible_hosts 方 法 即 可 完成 生成 工作 。 


ansible demo/demo 2/api/api_demo 2.py 文 件 如 下 : 


def generate hosts (self): 
data = Ansible Host.objects.all () .values () 
s data = [{'group': group, 'items': list(items)} for group, items in itertools. 
groupby (data, lambda x: x['group'])] 
generate hosts = Generate ansible hosts('/tmp/hosts') 


try: 
generate hosts.create all servers(s data) 
msg = 'hosts has been create' 
flag = True 
except: 
msg = 'hosts has not been create' 
flag = False 


return msg, flag 
@list route (methods=['get', "Post']) 
def create ansible hosts(self, request): 
msg, flag = self.generate hosts() 
return Response({'msg': msg, 'flag': flag}) 


GET /demo_2/ansible host api/ 


[ 


HTTP 266 OK 
Content-Type: application/json 
Vary: Accept 
Allow: GET, POST, HEAD, OPTIONS 


Pa 

”group": "group-test1", 
"name"”: "test1", 
"ssh_host": "127.0.0.1", 
"ssh_user"”: "deploy", 
“ssh port”: "22", 
"server type": "server”", 
"comment": "test" 


| 

"group"”: "group-test1", 
"nase”: "test2", 
"ssh_host": "127.0.0.1", 
"ssh user™": "deploy", 
"ssh_port™": "22", 
"server type™": "server", 
"comment": "test”" 


i 

"group": "group-test2", 
"name": "test3", 

ssh host”s "127.0.0.1"> 
"ssh_user": "deploy", 
"ssh_port": "22", 
"server type”": "server”", 
"comment": "test" 


图 14-3 ”添加 测试 数据 


请 真正 使 用 时 应 把 generate_hosts=Generate_ansible_hosts ('/tmp/hosts') 更 改 为 generate_hosts=Generate ansible_hosts ('/etc/ansible/hosts') ， 并 给 这 个 文件 对 应 地 写 入 权限 。 


所 有 工作 完成 后 ， 我 们 来 访问 一 下 接口 


14.1.4 ”通过 页 面 来 生成 H 


osts 文 件 


， 并 检查 是 否 生成 了 的 hosts 文 件 : http://youripaddress: yourport/demo 2/demo2 api/create ansible_hosts/。 


接 下 来 就 要 构建 页 面 了 ， 


因为 这 是 第 一 次 比较 完整 地 构建 应 


码 。 接 下 来 我 们 就 来 循序 渐进 


5 个 Tags 问 题 标签 组 如 下 。 


地 完成 所 有 功能 。 


界面 ， 笔 者 将 拆 分 得 比较 细 ， 将 以 tag 标 签 的 方式 来 说 明 问 题 。 由 于 篇 幅 有 限 ， 不 能 将 所 有 代码 放 上 ， 我 们 只 展示 各 个 tag 之 间 不 同 的 代 


“ 最 简单 的 页 面 来 展示 我 们 之 前 输入 到 hosts 数 据 的 页 面 (问题 标签 : deploy) 。 


' 数据 库 中 的 主机 信息 自动 生成 的 Ansible 的 hosts (问题 标签 : create) 。 


“ 在 页 面 上 添加 一 个 主机 ， 并 记录 数据 库 同时 生成 hosts 文 件 〈 问 题 标签 : add) 。 


“ 在 页 面 上 删除 一 个 主机 ， 并 记录 数据 库 同时 生成 hosts 文 件 〈 问 题 标签 : delete) 。 


“ 在 页 面 上 更 改 一 个 主机 ， 并 记录 数据 库 同时 生成 hosts 文 件 〈 问 题 标签 : modify) 。 


编写 的 逻辑 流程 如 图 14-4 所 示 。 


步骤 1. 编 写 Ansiblc 的 yml 文 件 步 又 8. 开 发 完成 ， 功 能 测试 


步骤 2. 编 写 web 的 API 接 口 步骤 7. 编 写 HTML 绑 定 的 JavaScript 和 lcss 


步骤 3. 定 义 views.py 绑 定 url 步骤 6. 编 写 HTML 的 主页 面 


步骤 4. 定 义 被 绑 定 的 url 步骤 5. 编 写 HTML 的 定义 页 面 


14-4 页面 编写 流程 


Oss 
第 1 步 和 第 2 步 如 果 只 是 编写 展示 页 面 ， 可 以 跳 过 。 
现在 ,我 们 就 按照 上 面 的 流程 图 来 快速 形成 页 面 。 


1) 完成 展示 我 们 之 前 输入 到 hosts 数 据 的 页 面 (问题 标签 : deploy) 。 


我 们 下 面 所 说 的 流程 ， 都 参照 图 14-4 页 面 编写 流程 。 


步骤 1: 该 示例 未 用 到 YML 文 件 ， 跳 过 。 


步骤 2: 该 示例 未 用 到 APl 接 口 ， 跳 过 。 


步骤 3: 定义 绑 定 url。 


在 ansible demo/demo_2/views.py 中 添加 : 


Qapi view(['GET', "POST']) 
def demo server deploy (request): 
if request.method 一 'GET': 
return render (request, 'demo 2/defines/demo server deploy.html') 


步骤 4: 定义 被 绑 定 url。 


在 ansible demo/demo _2/urls.py 中 添加 : 


Url (r'^demo_server deploy/', demo_server deploy), 


步骤 5: 定义 HTML 基 础 页 面 。 


在 ansible demo/root_demo/templates/demo_2/defines/demo_server_deploy.html 中 添加 : 


{$ extends "demo 2/base/base.html" %} 

{$$ load staticfiles %} 

{$$ block title %}demo_ server deploy{% endblock %} 

{ 科 block content %} 

{g include "demo 2/pages/demo_ server deploy.html" %} 

{% endblock %} 

{ block chosen js file %} 

<script type="text/javascript" src="{% static 'js/angular-controller/demo 2/demo server deploy ctrl.js' %}"></script> 
le Wd 

{% endblock %} 


步骤 6: 编写 HTML 主 页 面 。 


在 ansible_demo/root_demo/templates/demo 2/pages/demo_server_deploy.html 中 添加 : 


<div ng-controller='demo server deploy ctrl' class="col-md-12"> 
<div class="row col-md-12"> 
<div class="col-md-12"> 
<table class="table table-bordered table-striped table-hover"> 


<thead> 
<tr class="info"> 
<th "Col-md-2 text-muted"> 主 机 名 称 </th> 
<th class="col-md-2 text-muted"> 组 名 </th> 
<th class="col-md-1 text-muted"> 主 机 ip</th> 
<th "col-md-1 text-muted"> 用 户 名 </th> 


<th "col-md-1 text-muted"> 端 口 </th> 
<th class="col-md-2 text-muted"> 机 器 类 型 </th> 
</try 
</thead> 


<tbody dir-paginate="]j in servers list all | itemsPerPage: 10 
track by $index" class="success" pagination-id="servers list"> 
<th class="col-md-2 text-muted">((j.name))</th> 

<th class="col-md-2 text-muted">((j.group))</th> 
<th class="col-md-1 text-muted">((j.ssh host))</th> 
<th class="col-md-1 text-muted">((j.ssh user))</th> 
<th class="col-md-1 text-muted">((j.ssh port))</th> 
<th class="col-md-2 text-muted">((j.server type))</th> 
</tbody> 
</table> 
</div> 
</div> 
<div class="col-md-12"> 
<div class="col-md-offset-5"> 
<dir-pagination-controls pagination-id="servers list"></dir- 
pagination-controls> 


</div> 
</div> 
</div> 


这 里 我 们 只 用 到 了 table 这 个 html 标 签 ， 读 者 可 到 http://www.w3school.com.cn/ 自 行 了 解 。 
Os 


dir-pagination-controls 是 一 个 便利 的 分 页 标签 ， 可 以 省 去 很 多 前 端 页 的 编写 工作 ， 来 源 于 GitHub。 请 注意 ， 如 果 要 使 用 它 ， 先 将 其 注入 angulat.module 中 才能 使 用 。 笔 者 已 经 将 其 定义 注入 在 


ansible_demo/root_demo/static/js/angular-factory/main.js 中 了 。 
步骤 7: 编写 注入 的 JavaScript 文 件 。 


在 ansible_demo/root_demo/static/js/angular-controller/demo_2/demo_server_deploy_ctrljs 中 添加 : 


pp.controller ('demo_ server deploy ctrl',function($scope, $http){ 
get all data = function() { 
$http.get ('/demo_2/ansible host api/') # 通过 该 接口 获取 数据 ， 读 者 可 自行 访问 
.Success (function (res) { 
$scope.servers list all = res; 


}) 


} 
get all data() 
DD); 


步骤 8: 完成 编写 并 测试 。 


这 样 我 们 就 完成 了 展示 Ansible 的 hosts 文 件 的 页 面 ， 现 在 来 访问 它 。 


http://youraddress:yourport/demo 2/demo_server deploy/ 


2) 数据 库 中 的 主机 信息 自动 生成 的 Ansible 的 hosts (问题 标签 : create) 


步骤 1: 该 示例 未 用 到 YML 文 件 ， 跳 过 。 


步骤 2: Web 生 成 hosts 文 件 的 API 接 口 已 经 在 上 节 完 成 ， 跳 过 。 
步骤 3: 定义 绑 定 url。 


在 ansible demo/demo _2/views.py 中 添加 : 


Qapi view(['GET', "POST']) 
def demo_ server create (request): 
if request.method = 'GET': 
return render (request, 'demo 2/definesdemo server create.html') 


步骤 4: 定义 被 绑 定 url。 


在 ansible demo/demo_2/urls.py 中 添加 : 


Vel te’ ^demo_server create/ ', demo_server create), 


步骤 5: 定义 HTML 基 础 页 面 。 


在 ansible demoy/root demoy/templates/demo_2/defines/demo_server_create.html 和 之 前 deploy 问 题 标签 的 页 面 修改 以 下 项 : 


{% block title %}demo server create{% endblock %} 

http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15935/0EBPS/Text/. .http://www.hzcourse.com/resource/readBook?path=/openresources/teach ek 
{s include "demo 2/pages/demo_ server create.html" $%} 

http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15935/0EBPS/Text/. .http://www.hzcourse.com/resource/readBook?path=/openresources/teach ek 
<script type="text/javascript" src="{% static 'js/angular-controller/demo 2/demo server create ctrl.js' %}"></script> 
http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15935/0EBPS/Text/. .http://www.hzcourse.com/resource/readBook?path=/openresources/teach ek 


步骤 6: 编写 HTML 主 页 面 。 


ansible demo/root demoy/templates/demo_2/pages/demo_server_create.html 和 deploy 页 面相 比 添加 了 以 下 代码 : 


<div class="col-md-3"> 
<button class="btn btn btn-primary col-md-offset-5" ng-click="generate new_ 
ansible_host_func () "> 重新 生成 ansible hosts 文 件 </button> 

</div> 


Os 


generate_new_ansible_host_func () 的 JavaScript 的 方法 ， 我 们 会 调用 之 前 用 Python 生成 hosts 的 方法 。 
步骤 7: 编写 注入 的 JavaScript 文 件 。 


ansible demo/root demo/static/js/angular-controller/demo_2/demo_server_create_ctrljs 与 之 前 deploy 的 JavaScript 文 件 相 比 添加 了 以 下 代码 : 


$scope.generate new ansible host func = function() { 
$http.get ('/demo 2/demo2 api/create ansible hosts/') 
.Success (function (res) { 
alert (' 生 成 hosts 成 功 ') 
}) .error (function (res) { 
alert (' 生 成 hosts 失 败 ') 
有 


步骤 8: 完成 编写 并 测试 。 


这 样 我 们 就 完成 了 添加 主机 的 hosts 文 件 的 页 | 


， 现 在 来 访问 它 。 


回 


http://youraddress:yourport/demo 2/demo_server add/ 


3) 在 页 面 上 删除 一 个 主机 ， 并 记录 数据 库 同时 生成 hosts 文 件 (问题 标签 : delete) 。 


步骤 1: 该 示例 未 用 到 YML 文 件 ， 跳 过 。 


步骤 2: 已 编写 过 API 接 口 ， 所 以 跳 过 。 


步骤 3: 定义 绑 定 url。 


在 ansible demo/demo _2/views.py 中 添加 : 


Qapi view(['GET', "POST']) 
def demo_server delete (request): 
if request.method = 'GET': 
return render (request, 'demo 2/defines/demo server delete.html') 


步骤 4: 定义 被 绑 定 url。 


在 ansible_demo/demo_2/urls.py 中 添加 : 


这 所 (r'^demo_server delete/ ', demo_ server delete), 


步骤 5: 定义 HTML 基 础 页 面 。 


在 ansible demo/root_demo/templates/demo 2/defines/demo_server_delete.html 和 之 前 add 的 页 面 中 修改 这 些 项 : 


{ 委 block title %} demo server delete{% endblock %} 

http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15935/OEBPS/Text/. .http://www.hzcourse.com/resource/readBook?path=/openresources/teach ek 
{%$ include "demo 2/pages/demo server delete.html" %} 加 
http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15935/OEBPS/Text/. .http://www.hzcourse.com/resource/readBook?path=/openresources/teach ek 
<script type="text/javascript" src="{% static 'js/angular-controller/demo 2/demo server delete ctrl.js' %}"></script> 
http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15935/0EBPS/Text/. .http://www.hzcourse.com/resource/readBook?path=/openresources/teach ek 


步骤 6: 编写 HTML 主 页 面 。 


ansible demo/root_demo/templates/demo/demo_server_create.html 和 create 页 面相 比 添加 以 下 代码 : 


<th class="col-md-3 text-muted"> 操 作 </th> 
http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15935/0EBPS/Text/. .http://www.hzcourse.com/resource/readBook?path=/openresources/teach ek 
<th class="col-md-3 text-muted"> 

<button class="btn btn-primary btn-offset" data-toggle="modal" data- 

target="# servers_operate" ng-click="create tag ('remove!，]j) "> 删除 </button> 


</th> 

http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15935/0EBPS/Text/. .http://www.hzcourse.com/resource/readBook?path=/openresources/teach ek 
<h3 class="modal-title text-center text-primary" ng-if="operate type 一 'remove' "> 删除 节点 </h3> 

http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15935/OEBPS/Text/. .http://www.hzcourse.com/resource/readBook?path=/openresources/teach ek 
<button type="button" class="btn btn-primary" data-dismiss="modal" ng-click="generate ansible host func()" ng-if="operate type 一 'remove' "> 确认 删除 </button> 


Os 


这 里 我 们 用 到 了 Angularjs 中 的 ng-if 的 类 ， 如 果 条 件 成 立 。 则 该 标签 显示 。 在 这 里 如 果 operate_type= 


'remove' 成 立 ， 显 示 运 用 这 个 类 的 标签 。 
步骤 7: 编写 注入 的 JavaScript 文 件 。 


在 ansible demo/root_demo/static/js/angular-controller/demo_2/demo_server_add_ctrljs 与 之 前 create 的 JavaScript 文 件 相 比 添加 和 修改 以 下 内 究 : 


Part1: 单 击 任意 修改 的 行 按钮 后 ， 我 们 都 会 把 该 行 的 值 重 新 定义 给 新 的 变量 ， 并 为 每 个 操作 打上 标签 (remove、create、update 等 ) ， 这 样 我 们 可 以 把 所 有 逻辑 集成 在 下 面 的 函数 中 。 


回 


$scope.create tag = function(tag, ins){ 
$scope.operate type = tag; # if(tag == 'remove'){ 
$scope.remove id = ins.id; 
$scope.group = ins.group, 
$scope.name = ins.name, 
$scope.ssh host = ins.ssh host, 
$scope.ssh user = ins.ssh user, 
$scope.ssh port = ins.ssh user, 
$scope. server type = ins.server type, 
$scope.comment = ins.comment 


Part2: 创建 新 数据 库 记 录 主 机 的 tag、create。 


$scope.generate ansible host func = function() { 
$scope.save wait = true; 
if ($scope.operate type 一 'create') { 


data = {'group': $scope.group, 
'name': $scope.name, 
'ssh host': $scope.ssh host, 
'ssh user': $scope.ssh user, 
'ssh port': $scope.ssh port, 
'server type': $scope.server type, 
'comment': $scope.comment 


} 
$http.post ('/demo 2/demo2 api/create ansible hosts add/', data) 
.Success (function (res) { 
if (res['flag'] == true) { 
alert (' 生 成 hosts 成 功 ') 
get all data() 
} else { 
alert (' 生 成 hosts 失 败 ') 
} 
$scope.save wait = ''; 
}) .error (function (res) { 
alert (' 生 成 hosts 失 败 ') 


$scope.save wait = ''; 


1 


]) 


Part3: 删除 数据 库 记 录 主 机 的 tag、remove。 


if ($scope.operate type =— 'remove') { 
data = {'remove id': $scope.id}; 
$http.post ('/demo 2/demo2 api/create ansible hosts delete/', data) 
.Success (function (res) { 
if (res['flag'] == true) { 
alert (' 生 成 hosts 成 功 ') 
get all data() 
} else { 
alert (' 生 成 hosts 失 败 ') 
EF 
$scope.save wait = ''; 
}) .error (function (res) { 
alert (' 生 成 hosts 失 败 ') 


$scope.save wait = "''; 


各 


DD 


步骤 8: 完成 编写 并 测试 。 


我 们 就 完成 了 删除 


机 的 hosts 文 件 的 页 面 ， 现 在 来 访问 它 。 


http://youraddress:yourport/demo 2/demo_server delete/ 


4) 在 页 面 上 更 改 一 个 主机 ， 并 记录 数据 库 同 时 生成 hosts 文 件 (问题 标签 : modify) 。 


步骤 1: 该 示例 未 用 到 YML 文 件 ， 跳 过 。 


步骤 2: 已 编写 过 API 接 口 ， 所 以 跳 过 。 


步骤 3: 定义 绑 定 url。 


在 ansible demo/demo _2/views.py 中 添加 : 


Qapi view(['GET', "POST']) 
def demo server modify (request): 
if request.method = 'GET': 
return render (request, 'demo 2/defines/demo server modify.html') 


步骤 4: 定义 被 绑 定 url。 


在 ansible_demo/demo_2/urls.py 中 添加 : 


We ^demo_server modify/ ', demo_server modify), 


步骤 5: 定义 HTML 基 础 页 面 。 


ansible demo/root demo/templates/demo _2/defines/demo _server_modify.html 和 之 前 delete 的 页 面 中 修改 这 些 项 : 


{ 委 block title %}demo server modify {% endblock %} 

http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15935/0EBPS/Text/. .http://www.hzcourse.com/resource/readBook?path=/openresources/teach ek 
{$% include "demo 2/pages/demo_ server modify.html" %} 

http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15935/0EBPS/Text/. .http://www.hzcourse.com/resource/readBook?path=/openresources/teach ek 
<script type="text/javascript" src="{% static 'js/angular-controller/demo 2/demo server modify ctrl.js' %}"></script> 
http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15935/0EBPS/Text/. .http://www.hzcourse.com/resource/readBook?path=/openresources/teach ek 


步骤 6: 编写 HTML 主 页 面 。 


ansible demoy/root demoy/templates/demo_2/pagesdemo _server modify.html 和 delete 页 面相 比 添 加 以 下 代码 : 


<h3 class="modal-title text-center text-primary" ng-if="operate type 一 'modify'"> 更 新 节点 </h3> 
http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15935/OEBPS/Text/. .http://www.hzcourse.com/resource/readBook?path=/openresources/teach ek 
<button type="button" class="btn btn-primary" ng-click="generate ansible host func()" ng-if="operate type 一 'remove' "> 确认 删除 </button> 


步骤 7: 编写 注入 的 JavaScript 文 件 。 


ansible demo/root_demo/static/js/angular-controller/demo_2/demo_server_modify_ctrljs 与 之 前 deploy 的 JavaScript 文 件 相 比 添加 以 下 代码 : 


if($scope.operate type 'modify') { 
data = {'id': $scope.id, 
'group': $scope.group, 
'name': $scope.name, 
'ssh host': $scope.ssh host, 
'ssh user': $scope.ssh user, 
'ssh port': $scope.ssh port, 
'server type': $scope.server type, 
'comment': $scope.comment 


} 
$http.post ('/demo 2/demo2 api/create ansible hosts modify/', data) 


.Success (function (res) { 
if (res['flag'] == true) { 
alert (' 生 成 hosts 成 功 ') 
get all data() 
} else { 
alert (' 生 成 hosts 失 败 ') 
} 
$scope.save wait = "07 
}) .error (function (res) { 
alert (' 生 成 hosts 失 败 ') 


$scope.save wait = "''; 


步骤 8: 完成 编写 并 测试 。 


我 们 就 完成 了 修改 主机 的 hosts 文 件 的 页 面 ， 现 在 来 访问 它 。 


http://youraddress:yourport/demo 2/demo server modify/ 


14.2 ”使 用 celery 后 台 执 行 任务 
celery 是 Python 的 一 种 后 台 任务 管理 的 软件 ， 相 当 于 我 们 将 命令 放 在 后 台 执 行 ， 只 要 知道 该 任务 的 id， 就 可 以 随时 取消 任务 。 


14.2.1 ”为 什么 要 使 用 celery 


为 什么 要 使 用 celery? 我 们 使 用 之 前 的 方法 来 调用 命令 不 是 很 好 吗 ? 但 是 ， 你 可 以 试 试 如 果 使 用 页 面 调 用 接口 时 ， 断 网 或 者 不 小 心 刷新 了 一 下 网 页 ， 命 令 还 会 继续 进行 下 去 吗 ? 答案 是 : 将 会 全 部 终 
止 ， 如 果 我 们 要 执行 一 个 很 长 的 任务 ， 比 如 编译 安装 一 个 模块 ， 时 间 又 比较 长 ， 如 果 这 样 的 事情 发 生 了 ， 我 们 的 命令 就 不 知道 进行 到 什么 地 方 了 ， 特 别 是 一 些 不 可 逆 的 操作 ， 将 会 给 我 们 带 来 一 些 严 
果 。 举 个 例子 ， 在 更 新 版 本 时 突然 接 到 撤销 该 更 新 的 指令 的 时 候 ， 如 果 只 是 在 做 更 新 前 的 准备 ， 我 们 本 来 可 以 终止 的 ， 但 如 果 我 们 没有 使 用 后 台 任 务 celery， 就 无 法 取消 该 操作 。 


14.2.2 ”使 用 celery 的 前 期 准备 


在 使 用 前 ， 我 们 需要 安装 Redis 来 完成 celery 任 务 存储 和 结果 存储 ， 因 为 celery 会 使 用 Redis 来 记录 你 的 结果 ， 用 来 中 断 你 的 操作 。 读 者 可 以 使 用 其 他 软件 来 代替 Redis， 比 如 RabbitMQ， 或 者 数据 库 。 
但 Redis 我 们 后 期 还 可 以 作为 缓存 使 用 ， 所 以 在 这 里 就 直接 使 用 它 了 。 


首先 在 挑选 Redis 版 本 时 ， 请 安装 可 以 设置 键 值 的 Redis 版 本 ， 大 于 3.0 的 版 本 是 没 问题 的 ， 请 读者 自行 安装 ， 这 里 就 不 获 述 了 。 


然后 进入 你 的 虚拟 环境 ， 即 source 你 对 应 目录 的 activate， 如 果 忘 记 可 以 翻 看 第 13 章 的 内 容 。 之 后 pip 安 装 一 下 Python 包 。 


pip install celery django-celery django-redis 


ansible_demo/root_demo/dev_settings.py 中 添加 : 


DEV INSTALLED APPS = ( 

http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15935/OEBPS/Text/. .http://www.hzcourse.com/resource/readBook?path=/openresources/teach ek 
'djcelery', 

) 


在 命令 行 执行 创建 celery 对 应 的 数据 结构 。 


cd ansible demo 
./manage.py migrate 


最 后 ， 在 Django 的 配置 文件 中 添加 celery 的 一 些 配 置 。 


在 ansible_demo/root_demo/local settings.py 中 添加 : 


import djcelery 

djcelery.setup loader () 

BROKER URL = 'redis:// localhost:6379/3' 

CELERY RESULT BACKEND = 'redis:// localhost:6379/3' 
CELERY_ACCEPT CONTENT = ['json'] 

CELERY TASK SERIALIZER = 'json' 

CELERY RESULT SERIALIZER = 'json' 

CELERY DEFAULT QUEUE = "default" 
CELERY TRACK STARTED = True 


Os 


对 于 上 述 的 BROKER_URL 和 CELERY_RESULT_BACKEND， 笔 者 建议 使 用 同一 个 Redis 的 键 值 库 ( 这 里 统一 使 用 3 库 ) ， 对 于 性 能 比较 差 的 机 器 来 说 ， 可 以 避免 启动 celery 任 务 失 败 的 情况 。 另 外 对 于 
CELERY_TRACK_STARTED 来 说 ， 如 果 不 设 定 它 为 True 的 话 ， 只 要 任务 结束 前 (无 论 是 否 存 在 该 任务 ) ， 任 务 状态 都 是 PENGING， 因 为 开启 的 celery 端 口 有 限 ， 超 过 数量 的 任务 会 也 会 排队 ， 任 务 状态 也 是 
PENGING， 这 样 我 们 更 加 无 从 判断 任务 何 时 开始 。 反 之 ， 我 们 设 CELERY_TRACK_STARTED=True 时 ， 当 任务 开始 后 ， 任 务 状 态 会 变 成 STARTED。 


现在 可 以 启动 celery 了 。 


cd ansible demo 
./manage.py celery worker -c 10 ~autoreload 


参数 说 明 : 
“ -Cc 表示 启动 10 个 通道 ， 即 一 次 最 多 运行 10 个 任务 ， 其 他 任务 将 会 自动 排队 。 


一 autoreload 表 示 修 改 后 自动 重启 上 面 的 celery 命 令 来 载 入 新 的 任务 。 


Os 


对 于 一 autoreload 有 大 家 需要 注意 ， 除 非 你 把 任务 写 在 Django 的 app (如 demo_1、demo_ 2 目录 下 ) 的 tasks.py 下 时 ， 你 使 用 celery 类 修改 了 任务 方法 后 ， 会 自动 重 载 生效 外 ， 其 他 文件 不 会 自动 重 载 任务 ， 新 
加 的 任务 也 就 不 会 自动 生效 。 所 以 一 定 要 重新 启动 上 面 那 条 celery 命 令 。 但 由 于 Cttl-C 组 合 键 不 一 定 能 杀 死 所 有 celery 进 程 ， 请 写 一 个 脚本 再 重启 时 使 用 k 记 来 杀 死 。 可 以 参考 ansible_demo/start_celery.sh 自 己 写 


一 个 。 


ansible_demo/start_celery.sh 脚 本 如 下 : 


Process=` ps -ef |grep -E "./manage.py celery worker -c 10 --autoreload"|awk '{print $2} 人 
redis-cli config set stop-writes-on-bgsave-error no 
for i in $process; 
do 
if [ $i ~eq 1 ]; then 
echo "do nothing" 
else 
kill -9 $i 
fi 
done 
./manage.py celery purge -f;./manage.py celery worker -c 10 --autoreload 


再 强调 一 下 ， 对 于 任务 管理 软件 celery， 请 一 定 要 注意 : 关闭 它 时 使 用 上 面 的 shell 脚 本 使 其 正常 关闭 。 


14.2.3 ”使 用 celery 开 始 任 务 


14.2.2 节 成 功 地 运行 了 Django-celery， 我 们 就 可 以 使 用 celery 写 一 个 简单 的 任务 来 调用 Playbook。 在 这 里 ， 我 们 简单 地 编写 了 两 个 Playbook， 使 用 sleep20 来 模拟 较 长 时 间 的 操作 。 


第 1 个 sleep20 来 模拟 较 长 时 间 的 Playbook 文 件 ansible_ file/long_cmd_1.yml。 


- hosts: localhost 
tasks: 
- name: echo num 
shell: bash -c "echo 1 > /tmp/long.logysleep 20" 


Os 


另 一 个 文件 ansible_file/long_cmd_2.yml 和 上 述 文本 内 容 是 一 样 的 ， 只 不 过 把 echo1 改 成 eccho2。 


现在 ， 有 了 YML 文 件 ， 我 们 就 要 来 编写 celery 的 任务 方法 long_ansible bg。 要 把 该 方法 变 成 celery 的 后 台 任务 ， 需 要 给 这 个 方法 加 上 装饰 器 @task。throws= (Terminated，) 这 个 参数 方便 后 面 更 好 
地 取消 这 个 任务 ， 可 以 避免 一 些 问 题 。 


接 下 来 ,我 们 编写 了 一 个 后 台 任务 long_ansible_bg， 来 使 得 Playbook 在 后 台 运 行 。 


使 用 celery 完 成 后 台 执 行程 序 文件 ansible_demo/demo 2/tasks.py。 


# !/usr/bin/env python 
# =*= oding: utf-8 一 一 
from celery import task 
from billiard.exceptions import Terminated 
import commands 
import os 
home dir = os.path.abspath('.') + '/' 
def long ansible common (yml file): 
ansible playbook = home dir + 'http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15935/OEBPS/Text/../ansible file/{0}'.format (yml file) 
print ansible playbook 
bits = 'set -o pipefail;ansible-playbook {0}|tee -a /tmp/ansible long.1log'. 
format (ansible playbook) 
(status, output) = commands .getstatusoutput ('bash -c "{0}"'.format (bits)) 
Qtask (throws= (Terminated, ) ) 
def long ansible bg (data): 


long ansible common('long cmd 1.yml') # 执行 ansible 的 yml 
long ansible common('long cmd 2.yml') 
return {'msg': 'long ansible cmd has been executed'} 


我 们 已 经 完成 了 celery 后 台 启 动 Ansible 的 YML 的 方法 ， 最 后 只 要 在 我 们 的 API 上 调用 这 个 方法 就 可 以 了 ， 见 ansible demo/demo_2/apiapi demo_2.py 文 件 。 


首先 ， 先 导入 上 面 的 celery 的 task 方 法 。 


from demo 2.tasks import long ansible bg 


使 用 long_ansible_bg 方 法 。 


@list route (methods=['get', 'post']) 
def long ansible background cmd (self, request): 
data = request .data 
sl = long ansible bg.s(data) 
res = sl.delay() 
return Response({'task id': res.task id}) 


如 上 返回 结果 ， 我 们 一 定 要 返回 任务 的 task_id， 因 为 我 们 后 续 需要 用 这 个 task_id 来 查看 这 个 任务 的 状态 或 终止 该 任务 。 希 望 读者 最 好 用 Redis 或 者 数据 库 来 记录 这 个 id， 以 免 刷新 网 页 后 丢失 该 


task id。 


Os 


我 们 虽然 完成 了 所 有 的 编写 过 程 ， 但 需要 提醒 的 是 : 不 是 所 有 人 都 喜欢 在 tasks.py 里 面 编写 的 (有 些 人 喜欢 在 tasks.py 里 import 自 己 的 任务 ， 这 样 保存 文件 后 任务 将 不 会 自动 注册 到 celery 的 task 中 ) ， 为 了 
后 续 可 能 因 和 忽略 这 个 问题 而 引起 的 排 错 问题 ， 现 在 最 好 还 是 养 成 习惯 ， 每 次 编写 好 celery 的 任务 后 ， 先 重启 下 celery 来 载 入 新 写 的 或 修改 的 任务 。 


下 面 来 访问 我 们 的 接口 。 


http://myaddress:myport/demo 2/demo2 api/long ansible background _ cmd/ 


我 们 不 会 等 40s (2 个 Ansible 命 令 各 20s) ， 会 很 快 得 到 结果 ， 因 为 Ansible 的 所 有 任务 都 放 在 后 台 了 ， 所 以 我 们 很 快 得 到 执行 后 台 任务 后 返回 的 task_id， 如 图 14-5 所 示 。 


GET /demo_2/demo2_api/long_ansible_background_cmd/ 


HTTP 296 OK 
Content-Type: application/json 
Vary: Accept 
Allow: GET, POST, HEAD, OPTIONS 


"task_id": "3fcf57al-b532-4c8e-a411-53dbeba64198" 


图 14-5 ”执行 后 台 任 务 后 返回 的 task_id 


我 们 通过 celery 完 成 了 对 任务 的 执行 和 编号 ， 而 这 个 取得 的 任务 编号 task_id， 我 们 将 在 后 续 很 多 地 方 用 到 ， 所 以 对 我 们 非常 重要 。 


14.2.4 使 用 celery 取 消 正在 进行 的 任务 


我 们 现在 已 经 学 会 如 果 把 任务 放 在 后 台 了 ， 现 在 我 们 要 学 习 怎 么 取消 命令 。 


这 里 要 用 到 celery.task.control 中 的 revoke 方 法 ， 上 面 记录 的 task_id 页 面 被 要 求 作 为 参数 传 入 这 个 revoke 方 法 中 ， 来 确定 是 哪 一 个 任务 。 


还 有 一 个 方法 也 比较 有 用 ， 就 是 celery.result 的 AsyncResult， 我 们 可 以 通过 传 入 task_id 给 这 个 方法 来 取得 这 个 任务 到 底 进行 到 什么 程度 的 信息 。 我 们 主要 会 用 到 status (任务 成 功 、 失 败 或 者 挂 起 ) 和 
result (任务 的 结果 ) 。 


我 们 新 写 一 个 APl 来 使 用 这 些 方法 取消 任务 。 


@list route (methods=['get', 'post']) 
def long ansible revoke (self, request): 
data = request .data 
task id = data[l'task id'] 
res = AsyncResult (task id) 
revoke (task id, terminate=True, signal="'SIGKILL') 
return Response({'msg': task id + ' has been revoked'}) 


我 们 现在 来 尝试 让 long_ansible_background_cmd 只 运行 第 一 个 yml， 之 后 马上 取消 这 个 任务 来 完成 任务 的 中 断 测试 。 


我 们 再 次 运行 第 一 个 接口 。 


http://myaddress:myport/demo 2/demo2 api/long ansible background cmd/ 


请 在 20s 的 时 间 里 使 用 下 面 的 方法 来 取消 上 面 那 个 后 台 任务 ， 请 替换 下 面 的 #task_id#: 


curl -X post http://your ip address:yourport/demo 2/demo2 api/ long ansible revoke/ -H "Content-Type: application/json" -d '{"task id": "# task jd# "}" 


可 以 查看 /tmp/long.log 文 件 是 不 是 在 40 秒 过 后 仍 是 1 而 不 是 2， 如 果 是 1 的 话 ， 则 说 明 任 务 取消 成 功 。 


再 次 重申 ， 希 望 大 家 把 这 些 task_id 记 录 到 Redis 中 ， 并 为 每 一 个 任务 附 上 说 明 ， 之 后 可 以 在 页 面 上 全 部 展示 出 来 ， 供 我 们 查看 状态 或 者 取消 。 


这 里 笔者 就 不 再 写 页 面 来 调用 这 些 接口 了 ， 读 者 可 根据 上 面 的 章节 自己 来 完成 。 稍 后 几 节 中 的 实例 将 会 用 到 这 部 分 内 容 来 编写 页 面 。 


14.3 ”运行 YML 文 件 并 实时 读 取 日 志 


在 我 们 的 实例 中 应 该 比较 迫切 用 到 这 个 应 用 ， 如 果 在 页 面 上 不 能 获取 Ansible 的 实时 日 志 ， 就 算 我 们 用 Ansible 的 API 取 得 最 后 的 JSON 结 果 ， 我 们 也 不 能 判断 该 任务 到 底 哪里 出 了 问题 。 再 则 一 个 任务 会 
执行 很 长 时 间 ， 如 果 我 们 没 实时 读 取 日 志 的 话 ， 就 不 能 根据 日 志 情 况 来 中 断 任务 ， 这 也 不 符合 我 们 的 设计 要 求 。 所 以 ， 对 于 无 须 取 得 JSON 结 果 内 容 ， 而 只 关心 YML 文 件 运行 时 是 否 报错 的 需求 ， 就 不 使 
Ansible 的 API 了 ， 而 是 全 部 使 用 命令 行 的 方式 ， 并 使 用 tee 来 实时 写 日 志 到 临时 文件 。 


所 以 ， 我 们 要 完成 的 任务 名 称 就 将 是 : 同步 实时 读 取 Ansible 日 志 。 

我 们 需要 完成 几 个 目标 : 

1) 任务 开始 时 能 显示 任务 状态 ; 

2) 可 以 在 任意 时 间 结 束 任务 ; 

3) 实时 读 取 日 志 ; 

4) 随 着 日 志 的 增加 ， 日 志 能 够 在 浏览 器 自动 往 下 移动 ， 无 需 手 动 移动 滚动 条 。 
我 们 来 解释 要 完成 以 上 功能 的 意义 : 


当 我 们 需要 执行 一 个 耗 时 很 长 的 任务 时 ， 如 果 只 是 调用 API 的 话 ， 它 只 返回 一 串 结果 的 JSON 状 态 ， 如 果 出 现 错误 ， 你 就 很 难 判 断 是 在 哪里 出 错 。 再 则 如 果 你 使 用 插件 来 取得 log， 它 也 是 要 等 待 整 个 
Ansible 的 API 调 用 结束 才 会 返回 结果 ， 中 间 我 们 可 能 根本 不 知道 它 运行 到 什么 程度 了 ， 这 样 又 违反 了 Ansible 的 设计 初衷 。 若 日 志 不 能 实时 读 取 ， 那 么 使 用 命令 行 来 执行 更 好 。 另 外 我 们 还 需要 解决 一 个 日 志 滚 
动 显 示 的 问题 ， 当 左 侧 滚 动 条 移 到 最 底部 时 日 志 自 动向 下 移动 ， 在 其 他 位 置 则 保持 日 志 不 动 ， 相 当 于 完成 一 个 Google 浏 览 器 的 console 界 面 的 debug 日 志 的 功能 ， 如 图 14-6 所 示 。 这 样 我 们 完成 的 同步 实时 读 取 
Ansible 日 志 的 全 部 目标 就 达成 了 。 虽 然 还 不 是 很 完善 ， 但 是 却 达 到 了 易于 排 错 的 效果 。 


long_read_log.yml 


task_id: 98ffaace-4f1f-4775-b29a-bba4a62971af 


任务 状态 : STARTED 


ansible 日 志 : 


~ 一 一 一 > 一 一 or 


"module_name™: "shel" 
} 
tem" "3", 
ne 
"start": "2016-07-03 16:24:49.253827", 
“stder 
"stdout": "3", 
"stdout_lines": [ 
"9" 


PLAY RECAP ===r=rr=rrrrrrrrrxrsrsrrrrrsrrrrsrxrrxrrrxmsxxsxmsxmrxsawssxssssr 


localhost -Ok=2 changed=1 unreachable=0 failed=0 


| 


我 们 就 来 完成 上 面 的 目标 ， 在 这 里 我 们 仍 使 


步骤 1: 使 


的 YML 文 件 ， 该 文件 将 执行 连续 命令 ， 来 模拟 长 时 间 的 任务 。 


使 用 的 YML 文 件 ansible file/long_read log.yml 的 内 容 如 下 : 


14-6 


实时 读 取 任务 的 目标 页 面 


之 前 的 图 14-4 的 页 面 编写 流程 图 的 规则 来 进行 阐述 。 


— hosts: localhost 
tasks: 
- name: echo num 


shell: bash -c "echo {{item}};sleep 5" 
register: echo num 
with sequence: count=3 

- debug: var=echo num 


步骤 2: 使 


的 API 接 口 。 


为 了 看 上 去 像 是 一 个 较 长 的 Ansible 命 令 ， 我 们 再 通过 Python 来 循环 调 
去 掉 for 循 环 即 可 。 


celery 任 务 ansible demo/demo 2/tasks.py: 


这 个 YML 文 件 ， 页 面 设 定 默认 为 使 


这 个 YML 文 件 ， 来 制造 使 用 


多 个 YML 文 件 完成 一 个 任务 的 情况 。 如 果 读 者 只 需要 执行 一 


Qtask (throws= (Terminated, ) ) 
def long ansible read log (data) : 
print "start job' 
for i in xrange (10) : 
print str(i) + ': {0}'.format (data['yml file']) 
long ansible common(data['yml file'], data['log file']) 
return {msg': !Iong ansible cmd has been executed'y 


API 接 


ansible demo/demo 2/api/api demo 2.py: 


@list route (methods=['get', 'post']) 
def execute long ansible(self, request): 
data = request.data 
£f = NamedTemporaryFile (delete=False) 
data[l'log file'] = f.name 
res = long ansible read log.delay (data) 


return Response ({ 'task id' : res.task id, 'log file': f.name}) 


步骤 3: 定义 绑 定 url。 


在 ansible demo/demo _2/views.py 中 添加 如 下 内 容 : 


Qapi view(['GET', "POST']) 
def demo read log (request) : 
if request.method 一 'GET': 
return render (request, 'demo 2/defines/demo read 10g.html') 


步骤 4: 定义 被 绑 定 url。 


在 ansible_demo/demo_2/urls.py 中 添加 如 下 内 容 : 


Url (r'^demo read lo0og/', demo read 10g), 


步骤 5: 定义 HTML 基 础 页 面 。 


读 取 日 志文 件 的 HTML 基 础 定义 文件 ansible_demo/root_demo/templates/demo 2/defines/demo _read log.html。 


extends "normal/base.html" %} 

load staticfiles %} 

block title %}demo read log{% endblock %} 
block content %$} 和 

include "demo/demo read log.html" %} 
endblock %} 加 

% block chosen js _ file %} 


op op op op op op 


{ 
{ 
{ 
{ 
{ 
{ 
{ 


<script type="text/javascript" src="{% static 'js/angular-controller/demo ansible/demo read log ctrl.js' $}"></script> 


<!-- end -~-> 
$$ endblock %} 


步骤 6: 编写 HTML 主 页 面 。 


ansible demoyroot demo/templates/demo _2/pages/demo read log.html 文 件 如 下 : 


<div class="col-md-12" ng-controller="demo read log ctrl"> 

<br/> 

<div class="form-group col-md-offset-4"> 
<label class="col-md-2 control-label text-muted big"> 输 入 yml 文 件 名 :</label> 
<div class="col-md-6"> 

<input class="form-control" ng-model="yml file" ng-init="yml file='long 
read log.yml'"> 本 人 加 

</div> 

</div> 

<div class="row col-md-12"> 
<br /> 
<button class="btn btn btn-primary col-md-offset-5" ng-click="execute_ 
read ()"” ng-show="!read flag"> 开 始 执 行 任务 </button> 
<button class="btn btn btn-primary col-md-offset-5" ng-show="read flag" 
disabled> 开 始 执行 任务 </button> 
<button class="btn btn btn-primary col-md-offset-1" ng-click="revoke 
task (task id)" ng-show="task id" ng-if="read flag"> 停 止 任务 </button> 

</div> 

<br/> 

<div class="col-md-12"> 
<br/> 
<p class="col-md-offset-4" ng-if="task id">task id: (( task id ))</p> 
<br/> 
<p class="col-md-offset-4" ng-if="state"> 任 务 状态 : (( state ))</p> 
<br/> 
<label class="col-md-offset-4 control-label" ng-if="ansible log">ansible 
日 志 :</label> 
<br/> 
<textarea class="form-control" rows="20" ng-model="ansible log" ng- 
show="ansible 1og" id="textscroll"></textarea> 加 

</div> 

</div> 


步骤 7: 编写 注入 的 JavaScript 文 件 。 


下 面 来 编写 注入 的 JavaScript 文 件 ansible_ demo/root_demo/static/js/angular-controller/demo_2/demo_read_log_ctrl 文 件 的 part1。 


Part1 作 用 如 下 。 


1) 用 来 获取 task_id 并 运行 后 台 测 了 celery 任 务 ， 使 用 的 API 为 /demo_2/demo2_ api/execute_long_ansible/， 同 时 生产 临时 文件 来 记录 日 志 。 


2) 初次 读 取 日 志 并 为 它 传 入 初始 值 (使 用 方法 read log ({'seek': 0，'task id': result[task id'], 'log file': result[log file])) ) 。 


Part1: 部 分 代码 如 下 所 示 。 


app.controller('demo read log ctrl',function($scope, $http)t{ 
$scope.read flag = false; 
$scope.execute read = function() { 
$scope.ansible log = ''; 
$scope.read flag = true; 
console.1log ($scope.read flag); 
$scope.state = 'PENDING™; 
data = {'yml file': $scope.yml file}; 
$http.post ('/demo 2/demo2 api/execute long ansible/', data) 
.success (function (result) 工 2 a 
$scope.task id = result['task id']; 
read log({ ‘Seek'; 0 ， 'task id' : result['task id']，"1og file': result['log_ 
file']}); 
$scope.ansible 1og += '\nstart read\n'; 
}) .error (function (err){ 
console.1og (err) 


代码 中 主要 使 用 的 HTML 的 绑 定数 据 如 下 : 


scope.yml_file 为 我 们 要 执行 的 YML 文 件 ; 
scope.tead_flag 为 是 否 读 取 日 志 的 标志 ， 为 False 将 停止 读 取 日 志 ; 
scope.ansible_log 为 日 志 的 内 容 ， 将 使 用 增 量 的 方式 添加 到 这 个 参数 ; 


scope.state 为 celery 任 务 的 标志 ， 设 定 当 为 SUCCESS 或 FAILURE 时 停止 读 取 ; 


scope.task_id 为 任务 的 id， 通 过 记录 这 个 值 ， 来 获取 关于 这 个 任务 的 信息 。 


每 次 读 取 日 志 时 我 们 都 会 记录 日 志文 件 在 服务 器 上 的 位 置 ， 并 记录 每 次 读 取 的 位 置 ， 以 便 下 次 从 该 位 置 开 始 读 取 ， 以 减少 服务 器 与 浏览 器 之 间 的 数 


ansible demo/root_demo/static/js/angular-controller/demo_2/demo _read_log_ctr| 为 文件 的 Part2。 


Part2: 我 们 定义 了 每 隔 5 秒 读 入 日 志 的 方法 ， 并 能 实时 刷新 日 志 ， 让 日 志 


上 
要 
仿 
本 
对 
党 


居 传 输 。 


function read log (data){ 
$http.post ('/demo 2/demo2 api/read long ansible/', data) 
.success (function (result) 工 加 加 
Console.1og (result); 
data = result; 
$scope.ansible 1og += result['logs']; 
if($scope.state == 'REVOKED'){ 
$scope.ansible 1og += '\nend read\n'; 


$scope.read flag = false; 
return; 
} 
$scope.state = datal[l'state']; 
$scope.read flag = data['read flag'] 
if ($scope.read flag 一 false){ 
alert('task ' + result['task id'] + ' is over') 
document .getElementById ("textscroll") .scrollTop=document. 
getElementById ("textscroll") .scrollHeight; 
$scope.ansible 1og += '\nend read\n'; 
}else{ 
if ($scope.read flag 一 false){ 
alert('task ' + result['task id'] + ' is over') 
document .getElementById ("textscrol1") .scrollTop=document. 
getElementById ("textscroll1") .scrollHeight; 
$scope.ansible 1og += '\nend read\n'; 
}else{ 
setTimeout (function() { read log(data)}, 5000); // wait every 
5 second to read log 
if (document .getElementById("textscroll") .scrollTop + 1000>= 
document .getElementById ("textscroll") .scrollHeight || 
document .getElementById ("textscroll") .scrollTop 一 0){ 
setTimeout (function (){ 
document .getElementById ("textscroll") .scrollTop=document. 
getElementById ("textscroll1") .scrollHeight; 
1,100); 


} 
}) .error (function (err){ 


console.1log('err') 


]) 


其 中 ，read log 函 数 中 的 传 参 data 值 每 次 都 需要 3 个 值 的 JSON 格 式 : 
{'seek': xxx, 'task id': xxx, ‘log file': xxx}。 即 : 

1) 此 次 日 志文 件 读 取 的 位 置 : seek; 

2) 任务 的 id: task id; 


3) 日 志文 件 的 位 置 : log file。 


我 们 调用 的 API 为 /demo_2/demo2 api/read_long_ansible/。 


def check task end(self, task id) : 
res = AsyncResult (task id) 
return res.state 
@list route (methods=['get', "Post']) 
def read long ansible(self, request): 
data = request.data 
if not data.has key('log file'): 
log file = /tmp/ansible long.1og' 
else: 
log file = data['log file'] 
if not os.path.exists (1l0g file): 
data['read flag'] = True 
data['logs"] = "'"' 
return Response (data) 
with open(log file, 'r') as f: 
f.seek (data['seek']) 
data['logs'] = f.read() 
data['seek'] = f.tell () 
data['state'] = self.check task end(data[l'task id']) 
if data['state'] in ['SUCCESS', 'FAILURE', "REVOKED'] : 
data[l'read flag'] = False 
else: 
data['read flag'] = True 
return Response (data) 


这 个 API 比 较 简 单 ， 我 们 仍然 返回 {seek': xxx，'task_id': xxx，'log file': xxx}， 后 续 我 们 会 反复 调用 这 个 APl， 通 过 “setTimeout5000”， 来 设 定 每 5 秒 读 取 一 次 。 


setTimeout (function() { read log(data)}, 5000); 


另外 ， 要 想 让 日 志 自动 向 下 滚动 ， 还 要 在 对 应 的 HTML 的 textarea 设 定 对 应 的 id 为 textscroll。 


对 应 的 HTML: 


<textarea class="form-control" rows="20" ng-model="ansible log" ng- 
show="ansible 1og" id="textscroll"></textarea> 


对 应 的 JavaScript: 


document .getElementById ("textscroll") .scrollTop=document .getElementById ("textscroll") .scrollHeight; 


设置 滚动 条 不 到 底部 不 自动 向 下 滚动 : 


if (document .getElementById("textscroll") .scrollTop + 1000>=document .getElementById("textscrol1") .scrollHeight || document.getElementBYId ("textscroll") .scrollTop == 0){ 
setTimeout (function (){ 

document .getElementById ("textscroll") .scrollTop=document. 

getElementById ("textscroll") .scrollHeight; 
},100); 


Part3: 停止 任务 的 JavaScript。 


$scope.revoke task = function (task id){ 
data = {'task id': task id} 
$http.post ('/demo 2/demo2 api/long ansible revoke/', data) 
.Success (function (result){ 

alert (' 任 务 已 经 停止 ') 
$scope.task id = ! 7 
$scope.state = 'REVOKED'; 
}) .error (function (err){ 
console.1log ('err') 
Hs 
说 


我 们 使 用 的 回收 任务 的 AP| 为 上 一 节 的 方法 /demo_2/demo2 api/long_ansible_revoke/， 我 们 所 需要 的 参数 只 有 task_id。 


步骤 8: 完成 编写 并 测试 。 


我 们 就 完成 了 修改 主机 的 hosts 文 件 的 页 面 ， 现 在 来 访问 它 。 


http://youraddress:yourport/demo 2/demo read log/ 


最 后 ， 我 们 还 有 一 个 任务 未 完成 ， 就 是 通过 网 页 给 YML 传 入 参数 ， 这 
的 案例 。 请 跳 到 最 后 一 节 。 


14.4 ”通过 页 面 上 传 文件 并 基于 Ansible 分 发 


在 这 一 节 里 ， 我 们 主要 学 习 如 何 通过 页 面 上 传 文件 ， 如 图 14-7 所 示 。 


请 输入 要 创建 的 文件 : 


| pe A es 


1 文件 拖 虫 至 此 处 或 点 击 我 


Es am am mm am am em am em ma 


步骤 1: 该 示例 未 用 到 YML 文 件 ， 跳 过 。 


个 只 需要 结合 上 一 章节 的 内 容 来 修改 即 可 。 在 稍 后 的 章节 中 也 会 使 用 到 ， 所 以 在 该 内 容 不 会 再 过 于 复杂 地 嵌入 其 中 。 想 


进一步 调用 Ansible 命 令 ， 来 分 发 上 传 的 文件 到 各 个 服务 器 上 。 


上 传 进度 : 100% test txt 
test.txt 上 传 成 功 ! 


14-7 文件 上 传 Web 页 面 


步骤 2: 使 用 的 API 接 口 。 该 API 接 口 主要 是 储存 上 传 的 文件 到 服务 器 的 自 定 义 目录 中 去 。 


在 ansible demo/demo_2/api/api_demo2.py 中 添加 : 


得 到 最 后 


@list route (methods=['get', "Post']) 
def file upload(self, request): 
all str = request.data['para'] 
all data = json.loads (all_ str) 


saved file name = all data['saved file name'] # 保存 的 文件 名 


saved file dir = os.path.dirname (saved file name) 
filename = request.data['file'] 的 
file _ name = str (filename) 
if not os.path.exists (saved file dir): 
os.makedirs (saved file dir) 
try: 
destination = open (saved file name, 'wb+') 
for chunk in filename.chunks(): 
destination.write (chunk) 
destination.close () 
return Response({'flag': True}) 
except: 
return Response({'flag': False}) 


# 目录 不 存在 时 ， 创 建 它 


步骤 3: 定义 绑 定 url。 


在 ansible demo/demo _2/views.py 中 添加 : 


Qapi view(["GET'， "POST']) 
def qdqemo_upload (request) : 
if request.method = 'GET' : 
return render (request, 'demo upload.html') 


步骤 4: 定义 被 绑 定 url。 


在 ansible demo/demo_2/urls.py 中 添加 : 


WE ^demo_upload/ ', demo upload), 


步骤 5: 定义 HTML 基 础 页 面 。 


上 传 文件 的 基础 HTML 的 结构 定义 文件 ansible_demo/root_demo/t 


emplates/demo_upload.html 如 下 : 


extends "normal/base.html" %} 

load staticfiles %} 

block title %}demo static{% endblock %} 
block content %} 

include "demo/demo upload.html" %} 
endblock %} 

block chosen js file %} 


op op op op op op op 


<script type="text/javascript" src="{% static 'js/angular-controller/demo ansible/demo upload ctrl.js' %}"></script> 


GD 一 和 
{gs endblock %} 


步骤 6: 上 传 的 HTML 文 件 ansible_demo/root_demo/templates/d 


emo/demo_upload.html 如 下 : 


<div class="col-md-12 column"> 
<div class="col-md-offset-3 column"> 
<div ngf-drop ngf-select ng-model="upload file" ng-bind="a=' 文 件 拖 骂 
击 我 '" class="drop-box2 col-md-12 column" 
ver-class="dragover" ngf-multiple="false" ngf-allow-dir="true" 
image/*,application/pdf"></div> 
<div ngf-no-file-drop>File Drag/Drop is not supported for this browser</ 
div> 
<div class="col-md-12 column"> 
<div ng-if="proc 1og"> 
<h5 class="text-center text-success">( (proc 10g))</h5> 
</div> 加 
<div ng-show="flag"> 
<h5 class="text-center text-success">((msg))</h5> 
</div> 
<div ng-show="!flag"> 
<h5 class="text-center text-danger">( (msg) ) </h5> 
</div> 
</div> 
</div> 
</div> 
<style> 
.drop-box2 { 
background: # F8F8F8; 
border: 5px dashed # DDD; 
width: 70%; 
height: 100px; 
padding-top: 25px; 
margin: 10px; 


} 
</style> 
</div> 


步骤 7: 编写 注入 的 JavaScript 文 件 。 


ansible demo/root_ demo/static/js/angular-controller/demo_2/demo_server_modify_ctrljs 与 之 前 deploy 的 JavaScript 文 件 相 比 添加 了 以 下 内 容 : 


app.controller ('demo upload ctrl', function($scope, $http, Upload){ 
function goupload(ur1l) 工 
console.1log ($scope.upload file) 
if(!$scope.upload file) { 
return; 了 
}else{ 
if(!$scope.filename){ 
alert (' 文 件 未 命名 ， 请 先 输入 要 创建 的 文件 名 ') 
return; 
}else{ 
Upload.upload ({ 
MEL Wels 
data: {file: $scope.upload file, 'para': JSON.stringify ($scope. 
para) }, 
}) .then (function (resp) { 
console.1og (resp) 
$scope.flag = resp['data']['flag']; 
if (resp['data']['flag']) { 
$scope.msg = resp.config.data.file.name + ' 上 传 成 功 !'; 
} else { 
$scope.msg = ' 上 传 出 错 : ! + resp['data'] ['output']; 
} 
$scope.filename = ''; 
}, function (resp) { 
console.1log('Error status: ' + resp.status); 
}, function (evt) { 
Var progressPercentage = parseInt (100.0 * evt.loaded / evt.total); 
S$scope.pProc_ 1og = ' 上 传 进度 : ' + progressPercentage + ' 和 '+ 
evt.config.data.file.name; 


]) 


} 
] 7 
$scope.filename = 
$scope.$watch('upload file', function () { 

$scope.para = {'saved file name': $scope.filename} 

goupload ('/demo 2/demo2 api/file upload/'); 
ltrue); 


Es 


rs 


步骤 8: 完成 编写 并 测试 。 


我 们 就 完成 了 文件 的 上 传 ， 现 在 来 访问 它 。 


http://youraddress:yourport/demo 2/demo upload/ 


之 后 我 们 可 以 使 用 Ansible 来 调用 分 发 ， 由 于 篇 幅 有 限 ， 就 不 编写 了 ， 只 要 在 YML 文 件 中 使 用 Ansible 的 copy 命 令 即 可 。 


14.5 ”在 页 面 上 构建 YML 文 件 注册 中 心 


由 于 应 用 的 不 断 增多 ， 需 求 的 不 断 改 变 ， 我 们 不 可 能 为 每 一 个 需求 去 增加 或 者 修改 代码 ， 这 样 编 出 的 代码 将 是 很 糟糕 的 。 所 以 我 们 就 需要 一 个 类 似 于 注册 中 心 的 页 面 ， 来 配置 我 们 的 YML， 以 便 其 他 同 
导 可 以 使 o 


首先 ， 我 们 要 为 这 些 注册 的 信息 来 建立 一 个 数据 库 。 


在 ansible demo/demo_2/api/models.py 中 添加 : 


class Ansible Yml Register (models.Model): 
yml file = models.CharField (max length=200, blank=True, default="') 
# 注册 的 YML 文 件 
yml maintenancer = models.CharField (max length=50, blank=True, default="') 
# 注册 YML 的 维护 人 
yml_parameter = models.TextField (blank=True, null=True) # 可 接受 的 参数 
accept host group = models.CharField (max_length=200，blank=True，default=' ') 
# YML 可 接受 的 hosts 组 本 
comment = models.CharField (max length=200, blank=True, default="') 
# YML 的 使 用 说 明 
register time = models.DateTimeField (auto now add=True) # 注册 时 间 


之 后 ， 我 们 为 该 数据 库 添加 序列 化 ， 便 于 调 取 数 据 ， 如 果 读者 有 不 清楚 该 部 分 ， 可 以 到 上 一 节 学 习 该 内 容 。 


在 ansible demo/demo_2/api/serializers.py 中 添加 以 下 代码 : 


class Ansible Yml RegisterSerializer (serializers.ModelSerializer): 


class Meta: 
model = Ansible Yml Register 


完成 了 数据 库 部 分 后 ， 就 可 以 开始 YML 注 册 中 心 的 编写 工作 了 。 先 来 看 下 我 们 要 完成 的 效果 ， 注 册 YML 的 页 面 如 图 14-8 所 示 ， 添 加 一 项 YML 注 册 的 页 面 如 图 14-9 所 示 。 


[{"id":"389e8fb8-20a3-bf94-d292- 2016-06- 
Sb70a40e7cc7","name":"choice","type”:"choice”","values":"1\n2","comment"."test 23T14-17-49Z 
choice”")] 


[tid":"b84bf3d0-d613-713d-911b- 2016-06- 
daciecd9576c","name":"input","type":"stnng","values":"1","comment":"test 23T14:18:45Z 
input"),{"id":"59913a5b-0dbe-ebb2-f643- 
6€3all8eee5ad","name":"choice","type”":"choice”","values":"2","comment"."test 
two choice")] 


图 14-8 注册 YML 的 页 面 


添加 yml 文 件 


0 一 项 参数 


图 14-9 ”添加 一 项 YML 注 册 的 页 面 


简单 地 介绍 下 我 们 页 面 的 主要 功能 。 
1) 记录 YML 文 件 的 地 址 。 


2) 设 定 该 YML 可 以 使 用 的 host 组 (这 时 候 我 们 14.1 节 完成 的 功能 就 将 派 上 用 处 了 ) 。 


3) 添加 所 有 的 YML 中 用 到 的 参数 ， 目 前 设 定 有 string 字 符 型 ， 自 己 填写 的 空格 ， 以 及 choice 选 择 型 ， 并 填写 默认 值 (选项 以 空 行 隔 开 ) 。 最 后 为 该 参数 写 一 下 说 明 即 可 。 


4) 标注 该 脚本 的 作用 。 
先 来 看 下 我 们 设 定 的 YML 文 件 的 基本 格式 。 


以 下 一 部 分 原则 上 不 做 更 改 ， 只 要 是 为 了 传 入 hosts。 


- hosts: "{{ansible hosts}}" 
gather facts: no 


之 后 的 YML 的 部 分 ， 当 每 遇 到 一 个 {从 变量 的 时 候 ， 就 应 该 到 我 们 的 注册 页 面 的 参数 添加 项 去 注册 该 参数 ， 为 该 参数 指定 数据 类 型 (string 或 者 choice) 和 默认 值 。 


步骤 1: 该 示例 未 用 到 YML 文 件 ， 跳 过 。 


步骤 2: 使 用 的 API 接 口 。 


@list route (methods=['get', 'post']) 
def create yml file define(self, request): 
data = request.data 
Ansible Yml Register.objects.create(**data) 
return Response({'flag': True}) 
@list route (methods=['get', 'post']) 
def delete yml file define(self, request): 
data = request.data 
Ansible Yml Register.objects.filter (id=data['remove id']) .delete() 
return Response({'flag': True}) 
@list route (methods=['get', "Post']) 
def update yml file define(self, request): 
data = request.data 
Ansible Yml Register.objects.filter (id=data['id']) .update(**data) 
return Response({'flag': True}) 


步骤 3: 定义 绑 定 url。 


在 ansible demo/demo_2/views.py 中 添加 : 


Qapi view(['GET', "POST']) 
def demo config center (request): 
if request.method 一 'GET': 


return render (request, 'demo 2/defines/demo config center.html') 


步骤 4: 定义 被 绑 定 url。 


在 ansible_demo/demo_2/urls.py 中 添加 以 下 代码 : 


Url (r'^demo config center/', demo config center), 


步骤 5: 定义 HTML 基 础 页 面 。 


ansible demo/root_demo/templates/demo_config_center.html 文 件 如 下 : 


extends "demo 2/base/base.html" %} 

load staticfiles $%} 

block title %}demo config center{% endblock %} 

block content %} 

include "demo 2/pages/demo config center.html" %} 

endblock %} 

block chosen js file %} 

script type="text/javascript" src="{% static 'js/angular-controller/demo 2/demo config center ctrl.js' %}"></script> 
ee 

$$ endblock %} 


op op op op op op op 
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步骤 6: 编写 HTML 主 页 面 。 
ansible demo/root demo/templates/demo 2/pages/demo_config_center.html 文 件 如 下 。 


Part1: 罗列 所 有 可 执行 的 YML 文 件 ， 根 据 参 数 类 型 来 形成 填写 选项 。 


<div class="col-md-12" ng-controller="demo operate interface ctrl"> 
<br/> 
<div ng-repeat="i in data" class="well col-md-12"> 
<div class="form-group col-md-12" > 
<label class="col-md-4 control-label text-muted">yml 文 件 名 : ((i.yml file))</ 
label> 
<label class="col-md-2 control-label text-muted"> 维 护 人 : ((i.yml_ 
maintenancer) )</label> 
<label class="col-md-6 control-label text-muted"> 使 用 说 明 : ((i.comment))</ 
label> 
</div> 
<div class="col-md: 
<div ng-repeat="j in i.yml parameter" > 
<div clas, form-group col-md-4" ng-if="j.type = 'choice'"> 
<label class="col-md-4 control-label text-muted">((j.name)):</ 
label> 
<div class="col-md-8"> 
<select ng-options="o for o in j.values" clas 


form-control™ 


ng-model="i['operate'] [j['name']]" data-toggl tooltip" data- 
placement="top" title="((j.comment))"> 
<option disabled> 请 选择 </option> 
</select> 
</div> 
</div> 
<div class="form-group col-md-4" ng-if="j.type == 'string'"> 
<label class="col-md-4 control-label text-muted">((j.name)):</ 
label> 


<div class="col-md-8"> 
<input class="form-control" ng-model="i['operate'] [j['name']]" 
data-toggle="tooltip" data-placement="top" title="((j.comment))"> 
</div> 
</div> 
</div> 
</div> 


Part2: 任务 开始 按钮 、 结 束 按钮 和 任务 执行 的 状态 。 


<div class="row col-md-12"> 
<button class="btn btn btn-primary col-md-offset-5" data-toggle="modal" data-target="# check servers before operate" ng-click="fill data func(i)" ng-show="!read flag">j 
<button class="btn btn btn-primary col-md-offset-5" ng-show="read flag" disabled> 开 始 执行 任务 </button> 
</div> 
<br/> 
</div> 
<button class="btn btn btn-primary col-md-offset-5" ng-click="revoke task(task id)" ng-show="task id" ng-if="read flag"> 停 止 任务 </button> 
<br/> 
<div class="col-md-12 well" ng-if="ansible log"> 
<br/> 
<p class="col-md-offset-4" ng-if="yml_ file"> 执 行 的 yml 文 件 : (( yml file ))</p> 
<br/> 
<p class="col-md-offset-4" ng-if="state"> 任 务 状态 : (( state ))</p> 
<br/> 
<label class="col-md-offset-4 control-label" ng-if="ansible log">ansible 
日 志 :</label> 
<br/> 
<textarea class="form-control" rows="20" ng-model="ansible log" ng- 
show="ansible 1og" id="textscroll"></textarea> 
</div> 


Part3: 选择 可 执行 的 主机 ， 把 之 前 存 入 数据 库 的 主机 组 显示 出 来 ， 供 用 户 进行 选择 。 


<br/> 
1 Modal 一 > 
<div class="modal fade" id="check servers before operate" tabindex="-1" 
role="dialog" aria-labelledby="myModalLabel" aria-hidden="true"> 
<div class="modal-dialog modal-1g" style="width: 1200px; overflow-y: scroll; 
max-height:85%; margin-top: Spx; Imargin-bottom: 5PX7 "> 
<div class="modal-content"> 
<div class="modal-header" class="col-md-12"> 
<button type="button" class="close" data-dismiss="modal" aria- 
label="Close"><span aria-hidden="true">&times;</span></button> 
<div class="col-md-offset-6"> 
<b class="modal-title text-center"> 请 选择 机 器 , 并 将 执行 发 布 </b> 


"container"> 
modal-body" class="col-md-12"> 
<div class="col-md-12"> 
<span ng-repeat="j in select servers" class="col-md-4"> 
<input type="checkbox" class="css-checkbox" 
id='select ((j.name))' name="select ((j.name))" 
.Checked" ng-checked="j.checked"> 
select_((j.name))" class="css- 
label"><small>((j.name))</small></label> 
</span> 
<hr/> 


</div> 
</div> 
<hr/> 


<br/> 
<div class="modal-footer col-md-12"> 
<br/> 
<div class="col-md-12"> 
<div class="col-md-12 text-center"> 
<button type="button" class="btn btn-primary" data- 
dismiss="modal" ng-click="execute read() "> 确认 发 布 </button> 
<button type="button" class="btn btn-default" data- 
dismiss="modal"> 取 消 </button> 
</div> 
</div> 
</div> 
</div> 
</div><!-- /.modal-content --> 
</div><!-- /.modal-dialog --> 
</div><!-- /.modal --> 
</div> 


步骤 7: 编写 注入 的 JavaScript 文 件 。 


下 面 来 编写 用 于 注入 的 JavaScript 文 件 ， 本 例 中 为 ansible_demo/root_demo/static/js/angular-controller/demo_2/demo_config_center_ctrljs 文 件 。 我 们 来 逐一 剖析 各 个 部 分 。 


Part1: 修改 信息 后 及 时 更 新 HTML 页 面 的 数据 函数 get_all_data。 


app.controller('demo config center ctrl', function($scope, $http) { 
get all data = function () { 
$http.get ('/demo 2/ansible yml register api/') 
.success(function (res) { 
Console.1og (res); 
_.each (res, function (i){ 
i['yml parameter'] = JSON.parse(i['yml parameter']); 
1) 
$scope.data = res; 
有 


get all data() 


Part2: 为 弹出 框 创建 一 个 tag (create，modify，remove) 来 生成 对 应 的 弹出 框 的 JavaScript 功 能 。 


$scope.create tag = function(tag, ins){ 
$scope.operate type = tag; 


if(tag == 'create'){ 
$scope.yml parameter = []; 
} 
if(tag 一 'remove'|| tag == "modify'){ 


$scope.id = ins.id; 

$scope.yml file = ins.yml file; 

$scope.yml maintenancer = ins.yml maintenancer; 
$scope.yml parameter = ins.yml parameter; 
$scope.accept host group = ins.accept host group; 
$scope.comment = ins.comment; 


ks 


Part3: 产生 guid 的 函数 。 由 于 我 们 把 所 有 的 参数 选项 框 的 数据 用 JSON 格 式 存 入 一 个 字段 中 ， 通 过 guid 来 标记 这 个 参数 选项 框 ， 通 过 这 个 id 来 查找 这 个 参数 选项 框 ， 来 执行 更 新 和 删除 操作 。 


function guid() { 
function s4() { 
return Math.floor((1 + Math.random()) * 0x10000) 
.tostring (16) 
.substring (1); 
} 
TEL B40 + B50) 机 本 人 
Ss4() + '-' + s4() + s4() + s4(); 


Part4: 添加 一 项 参数 选 型 框 的 函数 。 


$scope.add more _ Parameter func = function(){ 
$scope.yml parameter.push ({ "id': guid(), 'name': '', 'type': 'choice', 
"values': '', 'comment': ''}) 


Ed 


Part5: 删除 一 个 参数 选项 框 的 函数 。 


$scope.delete _ Parameter func = function (id){ 
Console.1og(id) 
console.1log($scope.yml_Parameter) 
$scope.yml parameter = _.reject ($scope.yml parameter, function (i){ return 
i['id'] 一 iqd}) 
}; 


Part6: 更 新 、 删 除 或 创建 注册 YML 的 数据 。 


$scope.generate config func = function() { 
$scope.save wait = true; 
if ($scope.operate type =— 'create') { 
data = {'yml file': $scope.yml file, 

'yml_ maintenancer': $scope.yml maintenancer, 
'yml_parameter': JSON.stringify ($scope.yml parameter), 
'accept host group': $scope.accept host group, 
'comment': $scope.comment 


EF 
$http.post ('/demo 2/demo2 api/create yml file define/', data) 
.Success (function (res) { 
if (res['flag'] == true) { 
alert (' 定 义 创建 成 功 ') 
get all data() 
} else { 
alert (' 定 义 创建 失败 ') 
} 
$scope.save wait = ''; 
}) .error (function (res) { 


alert (' 定 义 创建 失败 ') 


$scope.save wait = "''; 
}) 
} 
if($scope.operate type 一 'remove') { 
data = {'remove id': $scope.id}; 


$http.post ('/demo 2/demo2 api/delete yml file define/', data) 
.success (function (res) { 时 
if (res['flag'] 一 true) { 
alert (' 定 义 删除 成 功 ') 
get all data() 
} else { 
alert (' 定 义 删除 失败 ') 


} 
$scope.save wait = ''; 
}) .error (function (res) { 
alert (' 定 义 删除 失败 ') 
$scope.save wait = "''; 
}) 


} 
if($scope.operate type 一 'modify') { 
data = {'id': $scope.id, 

'yml file': $scope.yml file, 
'yml maintenancer': $scope.yml maintenancer, 
'yml_ parameter': JSON.stringify ($scope.yml parameter), 
'accept host group': $scope.accept host_ group, 
'comment': $scope.comment 


} 
$http.post ('/demo 2/demo2 api/update yml file define/', data) 
‘success (function (res) { 
if (res['flag'] 一 true) { 
alert (' 定 义 更 新 成 功 ') 
get all data() 
} else { 
alert (' 定 义 更 新 失败 ') 
} 
$scope.save wait = ''; 
}) .error (function (res) { 
alert (' 定 义 更 新 失败 ') 
$scope.save wait = ''; 


步骤 8: 完成 编写 并 测试 。 


我 们 就 完成 了 修改 主机 的 hosts 文 件 的 页 面 ， 现 在 来 访问 它 。 


http://youraddress:yourport/demo 2/demo config center/ 


14.6 ”操作 者 注册 中 心 界面 


在 上 一 节 中 ， 我 们 已 经 完成 了 YML 注 册 中 心 的 配置 ， 接 下 来 就 需要 把 这 个 配置 中 心 的 内 容 转 化 成 用 户 或 者 同事 能 够 看 得 懂 的 页 面 ， 以 方便 大 家 一 起 使 用 ， 用 户 操作 界面 如 图 


择机 器 如 图 14-11 所 示 ， 开 始 执行 任务 如 图 14-12 所 示 。 


yml 文 件 名 - echo_choice_x.yml 


”Ee 


14-10 所 示 ， 操 作者 界面 选 


yml 文 件 名 : echo_input_x.yml 维护 人 人: developer 使 用 说 明 : inputir 程 echo 测 试 


input: [+ | choice: [2 | 


开始 执行 


图 14-10 ”用 户 操作 界面 


请 选择 机 器 并 将 执行 发 布 


图 14-11 操作 者 界面 选择 机 器 


yml 文 件 名 : echo_Input_x.yml 维护 人 : developer 使 用 说 明 : Input 远 程 echo 测 试 


input: choice: 


执行 的 ym 文件 : echo_input_xyml 


任务 状态 : STARTED 


anslble 日 去 : 


start read 


图 14-12 开始 执行 任务 


步骤 1: 该 示例 未 用 到 YML 文 件 ， 跳 过 。 


步骤 2: 使 用 的 API 接 口 。 


@list route (methods=['get', "post']) 
def execute yml ansible(self, request): 
data = request .data 
f = NamedTemporaryFile (delete=False) 
data['log file'] = f.name 
res = common ansible bg.delay (data) 
return Response ({'task id': res.task id, 'log file': f.name}) 


步骤 3: 定义 绑 定 url。 


在 ansible demo/demo_2/views.py 中 添加 以 下 代码 : 


Qapi view(['GET', 'POST']) 
def demo operate interface (request): 
if request.method = 'GET': 
return render (request, 'demo 2/defines/demo operate interface.html') 


步骤 4: 定义 被 绑 定 url。 


在 ansible demo/demo_2/urls.py 中 添加 以 下 代码 : 


让 人 ^demo_operate interface/ ', demo_ operate interface), 


步骤 5: 定义 HTML 基 础 页 面 。 


在 ansible demoy/root demoy/templatesdemo _2/definesdemo_operate_interface.html 中 添加 : 


extends "demo 2/base/base.html" %} 

load staticfiles %} 

block title %}demo operate interface{% endblock %} 

block content %} 

include "demo 2/pages/demo operate interface.html" %} 

endblock %} 

block chosen js file %} 

script type="text/javascript" src="{% static 'js/angular-controller/demo 2/demo operate interface ctrl.js' $}"></script> 
lm gd 

{gs endblock %} 
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步骤 6: 编写 HTML 主 页 面 。 
ansible demo/root_ demo/templates/demo _2/pages/demo_operate_interface.html 中 添加 如 下 内 容 


Part1: 罗列 所 有 可 执行 的 YML 文 件 ， 根 据 参 数 类 型 来 形成 填写 选项 。 


<div class="col-md-12" ng-controller="demo operate interface ctrl"> 
<br/> 
<div ng-repeat="i in data" class="well col-md-12"> 
<div clas form-group col-md-12" > 
<label class="col-md-4 control-label text-muted">yml 文 件 名 : ((i.yml_ 
file))</label> 
<label class="col-md-2 control-label text-muted"> 维 护 人 : ((i.yml_ 
maintenancer) )</label> 
<label class="col-md-6 control-label text-muted"> 使 用 说 明 : ((i.comment))</ 
label> 
</div> 
<div class="col-md-12" > 
<div ng-repeat="j in i.yml parameter" > 
<div clas form-group col-md-4" ng-if="j.type == 'choice'"> 
<label class="col-md-4 control-label text-muted">((j.name)):</ 
label> 
<div class="col-md-8"> 
<select ng-options="o for o in j.values" class="form- 


control" ng-model="i['operate'] [j['name']]" data-toggle="tooltip" 


data-placement="top" title="((j.comment))"> 
<option disabled> 请 选择 </option> 
</select> 
</div> 
</div> 
<div class="form-group col-md-4" ng-if="j.type == 'string'"> 


<label class="col-md-4 control-label text-muted">((j.name)):</ 


label> 
<div class="col-md-8"> 


<input class="form-control" ng-model="i['operate'] [j['name']]" 
data-toggle="tooltip" data-placement="top" title="((j.comment))"> 


</div> 
</div> 
</div> 
</div> 


Part2: 任务 开始 按钮 、 结 束 按钮 和 任务 执行 的 状态 。 


<div class="row col-md-12"> 
<button class="btn btn btn-primary col-md-offset-5" data-toggle="modal" 
data-target="# check servers before operate" ng-click="fill data_ 
func (i)" ng-show="!read flag"> 开 始 执 行 任务 </button> 
<button class="btn btn btn-primary col-md-offset-5" ng-show="read 
flag" disabled> 开 始 执 行 任务 </button> 

</div> 

<br/> 

</div> 


<button class="btn btn btn-primary col-md-offset-5" ng-click="revoke task(task id)" ng-show="task id" 


<br/> 
<div class="col-md-12 well" ng-if="ansible log"> 
<br/> 


<p class="col-md-offset-4" ng-if="yml] file"> 执 行 的 yml 文 件 : (( yml file ))</p> 


<br/> 
<p class="col-md-offset-4" ng-if="state"> 任 务 状态 : (( state ))</p> 
<br/> 
<label class="col-md-offset-4 control-label" ng-if="ansible log">ansible 
日 志 :</label> 
<br/> 
<textarea class="form-control" rows="20" ng-model="ansible log" ng- 
show="ansible log" id="textscroll"></textarea> 
</div> | 


ng-if="read_flag"> 停 止 任务 </button> 


Part3; 选择 可 执行 的 主机 ， 把 之 前 存 入 数据 库 的 主机 组 显示 出 来 ， 供 用 户 进行 选择 。 


<br/> 
<}== Modal ==> 


<div class="modal fade" id="check servers before operate" tabindex="-1" role="dialog" 


aria-labelledby="myModalLabel" aria-hidden="true"> 


<div class="modal-dialog modal-lg" style="width: 1200px; overflow-y: scroll; 


max-height:85%; margin-top: Spx; margin-bottom: 5PX7 "> 
<div class="modal-content"> 
<div class="modal-header" class="col-md-12"> 
<button type="button" class="close" data-dismiss="modal" 
aria-label: 
<div class= 


ol-md-offset-6"> 


<b class="modal-title text-center"> 请 选择 机 器 , 并 将 执行 发 布 </b> 


</div> 
</div> 
container"> 
modal-body" class="col-md-12"> 
<div class="col-md-12"> 


<span ng-repeat="j in select servers" class="col-md- 


<input type="checkbox" class="css-checkbox" i 


((j.name))' name="select ((j.name))" ng-model="j. 
checked" ng-checked="j.checked"> 
<label for="select ((j.name))" class="css- 
label"><small>((j.name))</small></label> 
</span> 
<br/> 
</div> 
</div> 
<br/> 
<br/> 
<div class="modal-footer col-md-12"> 
<br/> 


<div class="col-md-12"> 
<div class="col-md-12 text-center"> 
<button type="button" class="btn btn-primary" data- 


dismiss="modal" ng-click="execute read () "> 确认 发 布 </button> 


<button type="button" class="btn btn-default" data- 
dismiss="modal"> 取 消 </button> 
</div> 
</div> 
</div> 
</div> 
</div><!-- /.modal-content --> 
</div><!-- /.modal-dialog --> 
</div><!-- /.modal --> 
</div> 


lose"><span aria-hidden="true">&times;</span></button> 


步骤 7: 编写 注入 的 JavaScript 文 件 。 


ansible demo/root demo/static/js/angular-controller/demo_2/operate_interface_ctrljs 中 添加 以 下 内 容 。 


Part1: 为 HTML 提 供 注册 的 YML 所 有 信息 来 生成 页 面 。 


app.controller('demo operate interface ctrl',function($scope, $http){ 
get all data = function () { 
$http.get ('/demo 2/ansible yml register api/') 
.Success (function (res) { 
Console.1og (res); 
_.each (res, function(i){ 
i['yml parameter'] = JSON.parse(i['yml parameter']); 
i['operate'] = {}; 
_:each(i['yml parameter'], function(j){ 
if(! .ispmpty(j['values']))t 


i['operate'] [j['name']] = j['values'] .split('\n') [0]; 
j['values'] = j['values'] .split('\n') 
lelsef{ 


i['operate'][j['name']] = "7 
j['values'] = ' 7 
}) 
console.1log(i['yml parameter']) 
订 
$scope.data = res; 
}) 


} 
get all data() 


Part2: 通过 下 面 的 函数 把 已 选 的 主机 放 入 执行 列表 中 。 


$scope.fill data func = function (data) 1 
$scope.fill data = data; 
console.1log (data[l'accept host_ group']) 
$http.get ('/demo 2/ansible host api/') 
.success (function (res) { rs 
$scope.select servers = []; 
Console.1og (res) 
_.each (res, function(i){ 
if(i['group'] data['accept host group']){ 
i['checked'] = true; 
$scope.select_ servers.push (i) 


Part3: 开始 执行 任务 ， 并 实时 读 取 Ansible 的 日 志文 件 。 


$scope.read flag = false; 
$scope.execute read = function() { 

fill data = angular.copy ($scope.fill data); 

fill_ data['ansible hosts'] = []; 

console.1og ($scope.select servers) 
.each ($scope.select servers, function(j){ 

if(j['checked']){ 
fill data[l'ansible hosts'] .push(j['name']); 


} 
]) 
console.1log (fill data) 
if( .isEmpty (fill data)){ 
alert ('hosts 不 能 为 室 ') 
return; 
}else{ 
fill data['operate']['ansible hosts'] = fill data['ansible hosts'] .join(':') 
$scope.ansible log = "''; 
$scope.read flag = true; 
$scope.state = 'PENDING'; 
$scope.yml file = fill data.yml file; 
data = {'yml file': fill data.yml file, 'operate': fill data.operate}; 
$http.post ('/demo 2/demo2 api/execute yml ansible/', data) 
.Success (function (result){ 
$scope.task jd = result['task id']; 
read log({'seek': 0 , 'task id': result['task id'], 'log file': result['log_ 
file']}); 
$scope.ansible 1og += '\nstart read\n'; 
}) .error (function (err){ 
console.1log (err) 
1); 
}; 


Part4: 调用 Ansible 日 志文 件 读 取 的 函数 。 


function read log (data){ 
$http.post ('/demo 2/demo2 api/read long ansible/', data) 
.Success (function (result){ 
console.1log (result); 
data = result; 
$scope.ansible 1og += result['logs']; // add logs to model (ansible lo0g) 
if($scope.state == 'REVOKED'){ 
$scope.ansible 1og += '\nend read\n'; 
$scope.read flag = false; 
return; 和 
} 
$scope.state = datal['state']; 
$scope.read flag = data['read flag'] 
if($scope.read flag 一 false){ 
document .getElementById ("textscroll") .scrollTop=document. 
getElementById ("textscroll") .scrollHeight; 
$scope.ansible 1og += '\nend read\n'; 
alert('task ' + result['task id'] + ' is over') 
}else{ 
if($scope.read flag 一 false){ 
alert('task ' + result['task id'] + ' is over') 
document .getElementById ("textscroll") .scrollTop=document. 
getElementById ("textscroll") .scrollHeight; 
$scope.ansible 1og += '\nend read\n'; 
}else{ 
setTimeout (function() { read log(data)}, 5000); // wait every 5 
second to read log 
if (document .getElementById("textscroll") .scrollTop + 1000>=document. 
getElementById ("textscroll") .scrollHeight || document. 
getElementById ("textscroll") .scrollTop == 0){ 
setTimeout (function () { 
document .getElementById ("textscroll") .scrollTop=document. 
getElementById ("textscroll") .scrollHeight; 
},100); 


} 
}) .error (function (err){ 


console.1log('err') 
1D); 


Part5: 取消 任务 的 函数 。 


$scope.revoke _ task = function (task id){ 
data = {'task id': task id} 
$http.post ('/demo 2/demo2 api/long ansible revoke/', data) 
.Success (function (result){ 
alert (' 任 务 已 经 停止 ') 
$scope.task id = ''; 
$scope.state = 'REVOKED'; 
}) .error (function (err){ 
console.1log('err') 


1 


步骤 8: 完成 编写 并 测试 。 


这 样 我 们 就 完成 了 展示 Ansible 的 hosts 文 件 的 页 面 ， 现 在 来 访问 它 。 


http://youraddress:yourport/demo 2/demo operate interface/ 


14.7 本章 小 结 


在 本 章 内 容 中 ， 我 们 把 所 有 的 知识 点 都 结合 到 了 一 起 ， 并 通过 日 常 最 可 能 用 到 的 一 些 例 子 ， 进 一 步 介绍 了 如 何 编写 自己 的 自动 化 平台 。 


我 们 介绍 了 如 何 使 用 页 面 的 方式 来 管理 Ansible 的 Hosts， 其 作用 是 使 我 们 在 后 续 执 行 相应 的 任务 时 可 以 选择 机 器 ; 还 介绍 了 celery 这 个 任务 管理 的 软件 ， 通 过 它 ， 我 们 可 以 在 紧急 或 者 特殊 情况 下 ， 停 
止 正 在 进行 的 任务 ， 来 避免 我 们 的 操作 损失 ; 另外 ， 还 配备 了 完整 的 日 志 实时 展示 系统 ， 来 告知 我 们 任务 的 进展 情况 。 这 几 点 都 是 在 开发 平台 中 必须 考虑 的 因素 。 


其 实 ， 到 本 章 为 止 ， 对 于 Ansible 的 开发 工作 并 未 完全 结束 ， 如 果 想 要 开发 可 用 度 更 高 的 平台 的 话 ， 读 者 们 还 需 开 发 后 再 配 上 自己 的 权限 系统 ， 进 一 步 细 化 各 人 的 工作 职责 。 还 要 实时 收集 机 器 的 所 有 信 
息 ， 存 入 数据 库 ， 并 到 页 面 进行 展示 和 告警 。 笔 者 仅仅 为 大 家 开辟 一 个 思路 ， 更 好 的 思路 需要 通过 实践 和 借鉴 来 发 握 并 完成 ， 也 需要 大 家 的 共同 努力 。 


